إن أداتين ضارتين خطيرتين تستهدفان أنظمة التحكم الصناعية (ICS) وبيئات تكنولوجيا التشغيل (OT) في أوروبا هما أحدث مظاهر التداعيات السيبرانية للحرب في أوكرانيا.
إحدى الأدوات التي يطلق عليها اسم "كابيكا"، يبدو أنه مرتبط بـ Sandworm، وهو ممثل تهديد روسي غزير الإنتاج تدعمه الدولة والذي وصفته مجموعة Mandiant الأمنية التابعة لشركة Google هذا الأسبوع بأنه مصدر التهديد في البلاد. وحدة الهجوم السيبراني الأساسية في أوكرانيا. اكتشف باحثون أمنيون من شركة WithSecure ومقرها فنلندا الباب الخلفي الذي ظهر في هجمات عام 2023 ضد شركة لوجستية إستونية وأهداف أخرى في أوروبا الشرقية واعتبروه تهديدًا نشطًا ومستمرًا.
البرامج الضارة المدمرة
البرامج الضارة الأخرى – مدبلجة بشكل ملون إلى حد ما فوكس نت - هي أداة من المحتمل أن تستخدمها مجموعة التهديد بلاك جاك المدعومة من الحكومة الأوكرانية في هجوم مدمر مؤخرًا ضد شركة Moskollector، وهي الشركة التي تحتفظ بشبكة كبيرة من أجهزة الاستشعار لمراقبة نظام الصرف الصحي في موسكو. استخدم المهاجمون برنامج Fuxnet لاختراق ما زعموا أنه إجمالي 1,700 بوابة استشعار على شبكة Moskollector بنجاح، وقاموا في هذه العملية بتعطيل حوالي 87,000 جهاز استشعار متصل بهذه البوابات.
يقول شارون بريزينوف، مدير أبحاث الثغرات الأمنية في شركة أمن ICS Claroty، التي حققت مؤخرًا في هجوم لعبة البلاك جاك: "كانت الوظيفة الرئيسية لبرنامج Fuxnet ICS الضار هي إفساد ومنع الوصول إلى بوابات الاستشعار، ومحاولة إتلاف أجهزة الاستشعار المادية أيضًا". ويقول بريزينوف إنه نتيجة للهجوم، من المحتمل أن يتعين على Moskollector الوصول فعليًا إلى كل جهاز من آلاف الأجهزة المتضررة واستبدالها بشكل فردي. "لاستعادة قدرة [موسكولكتورز] على مراقبة وتشغيل نظام الصرف الصحي في جميع أنحاء موسكو، سيحتاجون إلى شراء النظام بأكمله وإعادة ضبطه."
تعد Kapeka وFuxnet أمثلة على التداعيات السيبرانية الأوسع نطاقًا الناجمة عن الصراع بين روسيا وأوكرانيا. منذ أن بدأت الحرب بين البلدين في فبراير 2022 - وحتى قبل ذلك بوقت طويل - قامت مجموعات القراصنة من كلا الجانبين بتطوير واستخدام مجموعة من أدوات البرامج الضارة ضد بعضها البعض. العديد من الأدوات، بما في ذلك المساحات وبرامج الفدية، كانت مدمرة أو تخريبية بطبيعتها واستهدفت بشكل أساسي البنية التحتية الحيوية، وأنظمة التحكم الصناعية، وبيئات التكنولوجيا التشغيلية في كلا البلدين.
ولكن في عدة مناسبات، حدثت هجمات باستخدام أدوات ناشئة عن الصراع الطويل الأمد بين البلدين أثرت على شريحة واسعة من الضحايا. ويبقى المثال الأبرز هو NotPetya، وهي أداة برامج ضارة طورتها مجموعة Sandworm في الأصل للاستخدام في أوكرانيا، ولكن انتهى بها الأمر إلى التأثير على عشرات الآلاف من الأنظمة في جميع أنحاء العالم في عام 2017. المركز الوطني للأمن السيبراني في المملكة المتحدة (NCSC) و وكالة الأمن القومي الأمريكي حذرت وكالة الأمن القومي (NSA) من مجموعة أدوات البرمجيات الخبيثة Sandworm التي يطلق عليها اسم "Infamous Chisel" والتي تشكل تهديدًا لمستخدمي Android في كل مكان.
كابيكا: بديل الدودة الرملية لـGrayEnergy؟
وفقًا لـ WithSecure، يعد Kapeka بمثابة باب خلفي جديد يمكن للمهاجمين استخدامه كمجموعة أدوات في مرحلة مبكرة ولتمكين الثبات على المدى الطويل على نظام الضحية. تشتمل البرامج الضارة على مكون قطارة لإسقاط الباب الخلفي على الجهاز المستهدف ثم إزالة نفسه. يقول محمد كاظم حسن نجاد، الباحث في شركة WithSecure: "يدعم Kapeka جميع الوظائف الأساسية التي تسمح له بالعمل كباب خلفي مرن في ملكية الضحية".
وتشمل قدراته قراءة وكتابة الملفات من وإلى القرص، وتنفيذ أوامر shell، وإطلاق حمولات وعمليات ضارة بما في ذلك الثنائيات التي تعيش خارج الأرض. يقول نجاد: "بعد الحصول على الوصول الأولي، يمكن لمشغل Kapeka الاستفادة من الباب الخلفي لأداء مجموعة واسعة من المهام على جهاز الضحية، مثل الاكتشاف ونشر برامج ضارة إضافية وتنظيم المراحل التالية من هجومهم".
وفقًا لنجاد، تمكنت شركة WithSecure من العثور على أدلة تشير إلى وجود صلة بـ Sandworm والمجموعة البرمجيات الخبيثة GreyEnergy تم استخدامها في الهجمات على شبكة الكهرباء الأوكرانية في عام 2018. ويشير نجاد إلى أنه "نعتقد أن Kapeka قد تكون بديلاً لـ GreyEnergy في ترسانة Sandworm". على الرغم من أن عينتي البرامج الضارة لا تنشأان من نفس كود المصدر، إلا أن هناك بعض التداخلات المفاهيمية بين Kapeka وGrayEnergy، تمامًا كما كان هناك بعض التداخلات بين GreyEnergy وسابقتها، BlackEnergy. يقول نجاد: "يشير هذا إلى أن Sandworm ربما قامت بتحديث ترسانتها بأدوات جديدة بمرور الوقت للتكيف مع مشهد التهديدات المتغير".
Foxnet: أداة للتعطيل والتدمير
وفي الوقت نفسه، حدد بريزينوف من شركة Clarity برنامج Fuxnet باعتباره برنامجًا ضارًا لأنظمة التحكم الصناعية (ICS) يهدف إلى إلحاق الضرر بمعدات استشعار محددة روسية الصنع. تم تصميم البرامج الضارة للنشر على البوابات التي تراقب وتجمع البيانات من أجهزة الاستشعار المادية لأجهزة إنذار الحريق ومراقبة الغاز والإضاءة وحالات الاستخدام المماثلة.
يقول بريزينوف: “بمجرد نشر البرمجيات الخبيثة، فإنها ستخترق البوابات عن طريق الكتابة فوق شريحة NAND الخاصة بها وتعطيل إمكانات الوصول عن بعد الخارجية، مما يمنع المشغلين من التحكم في الأجهزة عن بعد”.
ثم تحاول وحدة منفصلة إغراق أجهزة الاستشعار المادية نفسها بحركة مرور M-Bus عديمة الفائدة. M-Bus هو بروتوكول اتصالات أوروبي لقراءة عدادات الغاز والمياه والكهرباء وغيرها عن بعد. يقول بريزينوف: "أحد الأغراض الرئيسية لبرامج Blackjack الضارة Fuxnet ICS هو مهاجمة أجهزة الاستشعار المادية نفسها وتدميرها بعد الوصول إلى بوابة أجهزة الاستشعار". وللقيام بذلك، اختارت لعبة بلاك جاك التشويش على أجهزة الاستشعار عن طريق إرسال عدد غير محدود من حزم M-Bus إليها. يقول: "في جوهر الأمر، كانت شركة BlackJack تأمل أنه من خلال إرسال حزم M-Bus العشوائية للمستشعر إلى ما لا نهاية، فإن الحزم ستطغى عليها وربما تؤدي إلى ثغرة أمنية من شأنها أن تفسد أجهزة الاستشعار وتضعها في حالة غير صالحة للعمل".
إن أهم ما يمكن أن تتعلمه المؤسسات من مثل هذه الهجمات هو الاهتمام بأساسيات الأمان. يبدو أن لعبة البلاك جاك، على سبيل المثال، قد حصلت على وصول جذري إلى بوابات الاستشعار المستهدفة عن طريق إساءة استخدام بيانات الاعتماد الضعيفة على الأجهزة. ويسلط الهجوم الضوء على سبب "أهمية الحفاظ على سياسة كلمة مرور جيدة، والتأكد من عدم مشاركة الأجهزة في نفس بيانات الاعتماد أو استخدام البيانات الافتراضية"، كما يقول. "من المهم أيضًا نشر عملية تعقيم وتجزئة جيدة للشبكة، والتأكد من أن المهاجمين لن يتمكنوا من التحرك أفقيًا داخل الشبكة، ونشر برامجهم الضارة على جميع الأجهزة الطرفية."
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/ics-ot-security/dangerous-new-ics-malware-targets-orgs-in-russia-and-ukraine
