*مینا*
مــدیـر بـازنشـسـتـه
- تاریخ ثبتنام
- Sep 12, 2013
- ارسالیها
- 3,063
- پسندها
- 366
- امتیازها
- 83
- محل سکونت
- زیر اسمون خدا
- تخصص
- ترانه سرا
- دل نوشته
- هر وقت دلت شکست خورده هاشو خودت جمع کن نزار هر نامردی منت دست زخمیشو روت بزاره
- بهترین اخلاقم
- بخشیدن
اعتبار :
[h=2]حمله نوع جدیدی از بدافزار havex به كاربران Scada و سیستم كنترل[/h]
بدافزاری كه پیش از این در حمله به شركتهای بخش انرژی بكار رفته بود، در حال حاضر سازمان هایی را كه برنامههای كاربردی صنعتی و ماشین آلات را استفاده می كند و یا توسعه میدهند هدف قرار داده است. بررسی ها نشان می دهد كه در طی ماه های پیش، مهاجمان شروع به توزیع نسخه جدیدی از برنامه تروجان دسترسی از راه دوری به نام Havex از طریق هك كردن وب سایتهای تولیدكنندگان سیستمهای كنترل صنعتی (ICS) و نیز آلوده كردن نرمافزارهای قانونی قابل دانلود در وب سایت ها، كردند.
همچنین در طی تحقیقات، سه سایت فروشنده این نرم افزارها كه به این طریق آلوده شده اند، كشف گردیده است. نصب كننده های نرمافزار موجود در این سایتها آلوده به تروجان دسترسی از راه دور Havex شدهاند. به نظر می رسد، احتمالاً موارد مشابهی دیگری نیز موجود باشد كه تاكنون كشف نگردیده است.
F-Secure نام این فروشندههای آلوده شده را بیان نكرده است اما اظهار داشت كه دو شركت از آنها توسعهدهنده نرمافزار مدیریت از راه دور ICS بودند و سومی تهیهكننده دوربینهای صنعتی با دقت بالا و نرمافزارهای مرتبط با آن میباشد. به گفته این شركت امنیتی، فروشندگان در آلمان، سوئیس و بلژیك هستند.
مهاجمان، برنامههای installer قانونی را برای اضافه و اجرا كردن فایلهای اضافی در كامپیوتر تغییر می دهند. فایل اضافه شده mbcheck.dll نام دارد و در حقیقت همان بدافزار Havex میباشد.
این روش توزیع جدید به علاوه برای حملات معمولی مانند ایمیل های اسپم و exploitهای مبتنی بر وب مورد استفاده قرار گرفته اند، و نشان می دهد كسانی كه در پشت این عملیات هستند به طور خاص علاقمند به هدف قرار دادن سازمانهایی كه از برنامه های كاربردی ICS و SCADA استفاده می كنند، شده اند.
نتیجه اینكه برنامه مخرب Havex جدید با هدف اسكن شبكه های محلی برای دستگاههایی كه به درخواست OPC (Open Platform Communications) پاسخ میدهند به وجود آمدهاند. OPC یك استاندارد ارتباطی است كه اجازه تعامل بین برنامههای كاربردی SCADA مبتنی بر ویندوز و فرآیند كنترل سختافزار را می دهد.
به گفته محققان F-Secure، بدافزار Havex به استاندارد OPC برای جمع آوری اطلاعات در مورد دستگاه های كنترل صنعتی نفوذ می كند. بدافزار Havex اطلاعات جمع آوری شده را به سرور C&C خود، جهت تحلیل توسط مهاجمان ارسال می كند. در نتیجه به نظر میرسد كه بدافزار Havex به عنوان یك ابزار برای جمع آوری اطلاعات استفاده میشود. تاكنون نیز هیچ payload ایی كه سعی در كنترل سخت افزارهای متصل شده داشته باشد، مشاهده نگردیده است.
محققان F-Secure بیان كردند: "اكثر قربانیان در اروپا هستند، هرچند در زمان نوشتن این گزارش حداقل یك شركت در كالیفرنیا مشاهده شده است كه اطلاعات به سرورهای C&C ارسال كرده است". از سازمانهای اروپایی، دو نهاد آموزشی بزرگ در زمینه پژوهشهای مربوط به فناوری در فرانسه، دو تولیدكننده برنامههای كاربردی یا دستگاههای صنعتی در آلمان، یك تولیدكننده ماشینآلات صنعتی فرانسوی و یك شركت ساخت و ساز متخصص در مهندسی سازه در روسیه به عنوان قربانیان شناخته شدهاند.
در گزارشی كه در ماه ژانویه2014(دی ماه 92) منتشر شد، شركت اطلاعاتی امنیتی CrowdStrike، گزارشی را درباره Havex RAT كه حملههای هدفمند بر علیه سازمانهای بخش انرژی در سپتامبر 2013(شهریور92) انجام داده بود، منتشر كرد و آن را مرتبط با گروهی از مهاجمان وابسته به دولت روسیه هستند، دانست. شركت امنیتی به این گروه مهاجم لقب "خرس پر انرژی" داد و احتمال داد كه زمان این بدافزار مخرب به آوت 2012 برمی گردد.
پس از كشف بدافزار خرابكار صنعتی استاكس نت در سال 2010(1389شمسی)، محققان امنیتی در مورد ناامنی سیستمهای كنترل صنعتی و سهولت مورد هدف قرار گرفتن آنها توسط مهاجمان هشدار دادند. با وجود این نگرانی ها تاكنون حملات گسترده بدافزارها علیه ICS ها و سیستم های SCADA به وقوع نپیوسته است ولی وجود بدافزاری مانندHavex اتفاقی است كه ممكن است در آینده نیز مشاهده گردد.
بدافزاری كه پیش از این در حمله به شركتهای بخش انرژی بكار رفته بود، در حال حاضر سازمان هایی را كه برنامههای كاربردی صنعتی و ماشین آلات را استفاده می كند و یا توسعه میدهند هدف قرار داده است. بررسی ها نشان می دهد كه در طی ماه های پیش، مهاجمان شروع به توزیع نسخه جدیدی از برنامه تروجان دسترسی از راه دوری به نام Havex از طریق هك كردن وب سایتهای تولیدكنندگان سیستمهای كنترل صنعتی (ICS) و نیز آلوده كردن نرمافزارهای قانونی قابل دانلود در وب سایت ها، كردند.
همچنین در طی تحقیقات، سه سایت فروشنده این نرم افزارها كه به این طریق آلوده شده اند، كشف گردیده است. نصب كننده های نرمافزار موجود در این سایتها آلوده به تروجان دسترسی از راه دور Havex شدهاند. به نظر می رسد، احتمالاً موارد مشابهی دیگری نیز موجود باشد كه تاكنون كشف نگردیده است.
F-Secure نام این فروشندههای آلوده شده را بیان نكرده است اما اظهار داشت كه دو شركت از آنها توسعهدهنده نرمافزار مدیریت از راه دور ICS بودند و سومی تهیهكننده دوربینهای صنعتی با دقت بالا و نرمافزارهای مرتبط با آن میباشد. به گفته این شركت امنیتی، فروشندگان در آلمان، سوئیس و بلژیك هستند.
مهاجمان، برنامههای installer قانونی را برای اضافه و اجرا كردن فایلهای اضافی در كامپیوتر تغییر می دهند. فایل اضافه شده mbcheck.dll نام دارد و در حقیقت همان بدافزار Havex میباشد.
این روش توزیع جدید به علاوه برای حملات معمولی مانند ایمیل های اسپم و exploitهای مبتنی بر وب مورد استفاده قرار گرفته اند، و نشان می دهد كسانی كه در پشت این عملیات هستند به طور خاص علاقمند به هدف قرار دادن سازمانهایی كه از برنامه های كاربردی ICS و SCADA استفاده می كنند، شده اند.
نتیجه اینكه برنامه مخرب Havex جدید با هدف اسكن شبكه های محلی برای دستگاههایی كه به درخواست OPC (Open Platform Communications) پاسخ میدهند به وجود آمدهاند. OPC یك استاندارد ارتباطی است كه اجازه تعامل بین برنامههای كاربردی SCADA مبتنی بر ویندوز و فرآیند كنترل سختافزار را می دهد.
به گفته محققان F-Secure، بدافزار Havex به استاندارد OPC برای جمع آوری اطلاعات در مورد دستگاه های كنترل صنعتی نفوذ می كند. بدافزار Havex اطلاعات جمع آوری شده را به سرور C&C خود، جهت تحلیل توسط مهاجمان ارسال می كند. در نتیجه به نظر میرسد كه بدافزار Havex به عنوان یك ابزار برای جمع آوری اطلاعات استفاده میشود. تاكنون نیز هیچ payload ایی كه سعی در كنترل سخت افزارهای متصل شده داشته باشد، مشاهده نگردیده است.
محققان F-Secure بیان كردند: "اكثر قربانیان در اروپا هستند، هرچند در زمان نوشتن این گزارش حداقل یك شركت در كالیفرنیا مشاهده شده است كه اطلاعات به سرورهای C&C ارسال كرده است". از سازمانهای اروپایی، دو نهاد آموزشی بزرگ در زمینه پژوهشهای مربوط به فناوری در فرانسه، دو تولیدكننده برنامههای كاربردی یا دستگاههای صنعتی در آلمان، یك تولیدكننده ماشینآلات صنعتی فرانسوی و یك شركت ساخت و ساز متخصص در مهندسی سازه در روسیه به عنوان قربانیان شناخته شدهاند.
در گزارشی كه در ماه ژانویه2014(دی ماه 92) منتشر شد، شركت اطلاعاتی امنیتی CrowdStrike، گزارشی را درباره Havex RAT كه حملههای هدفمند بر علیه سازمانهای بخش انرژی در سپتامبر 2013(شهریور92) انجام داده بود، منتشر كرد و آن را مرتبط با گروهی از مهاجمان وابسته به دولت روسیه هستند، دانست. شركت امنیتی به این گروه مهاجم لقب "خرس پر انرژی" داد و احتمال داد كه زمان این بدافزار مخرب به آوت 2012 برمی گردد.
پس از كشف بدافزار خرابكار صنعتی استاكس نت در سال 2010(1389شمسی)، محققان امنیتی در مورد ناامنی سیستمهای كنترل صنعتی و سهولت مورد هدف قرار گرفتن آنها توسط مهاجمان هشدار دادند. با وجود این نگرانی ها تاكنون حملات گسترده بدافزارها علیه ICS ها و سیستم های SCADA به وقوع نپیوسته است ولی وجود بدافزاری مانندHavex اتفاقی است كه ممكن است در آینده نیز مشاهده گردد.