هشدار به صنایع دارای تجهیزاتSchneider Electric ، OMRON و پروتکل OPC UA

هشدار به صنایع دارای تجهیزاتSchneider Electric ، OMRON و پروتکل OPC UA

سیستم های کنترل و اتوماسیون صنعتی (DCS، PLC، اسکادا، تله‌متری، دیسپاچینگ، ESD و غیره) ازجمله اهداف آسیب­پذیر در مقابل حملات سایبری‌اند. دلایل متعددی برای این آسیب­پذیری‌های قابل‌توجه می­توان ذکر کرد. افزایش انگیزه مهاجمان و سوق پیدا کردن جنگ‌های سایبری به سمت زیرساخت‌های حیاتی صنعتی یکی از این دلایل است.

بهره‌گیری روزافزون صنایع از فناوری‌های جدید به‌ویژه در بخش سیستم های حفاظت و کنترل، دلیل دیگر گسترده بودن اهداف قابل تهدید در صنایع است. گستردگی و پیچیدگی­های فنی، جغرافیایی و سازمانی صنایع که معمولاً با عدم یکپارچگی مدیریت امنیت سایبری نیز همراه است موجب می­شود بخش­های مختلفی از سیستم ­ها و تجهیزات این مجموعه­ ها در معرض تهدید باشد.

به‌تازگی سازمان‌های NSA، DOE، CISA،FBI  [1]در خصوص هک و نفوذ به سیستم های کنترل صنعتی (ICS)، سیستم های اسکادا(SCADA) و PLCهای مرتبط با برندها و پروتکل ذیل هشدار داده‌اند:

  • Schneider Electric programmable logic controllers (PLCs)
  • OMRON Sysmac NEX PLCs
  • Open Platform Communications Unified Architecture (OPC UA) servers

در این هشدار تأکید شده است که مهاجمین در این نفوذها توانسته‌اند دسترسی کاملی به شبکه‌های صنعتی قربانی پیدا نمایند. یکی از نکات قابل‌توجه که در این حملات گزارش داده‌شده این است که مهاجمین از ابزارهای توسعه داده‌شده خاص‌منظوره‌ای استفاده کرده‌اند تا بتوانند سطح دسترسی و ابعاد حمله را تا عمق سیستم های کنترل صنعتی (که PLCها و DCSها هستند) گسترش دهند. در این حملات مهاجمین از مرحله شناسایی، نفوذ اولیه، گسترش نفوذ و وارد آمدن حملات از این ابزارهای خاص‌منظوره استفاده می‌نمایند که در تجارب بالغ‌بر هشت‌ساله رصد حملات توسط شرکت امان نیز کمتر شاهد آن بودیم.

در این حملات شاهد این بودیم که سیستم های کنترل صنعتی از نوع ایستگاه‌های مهندسی دارای سیستم‌های عامل ویندوز، از اکسپلویت‌های آسیب‌پذیری‌های شناخته‌شده درایورهای مادربردهای ASRock مورد نفوذ قرار گرفتند.

جزئیات فنی

همان‌طور که در ابتدای این گزارش بیان شد، اخیراً در خصوص هک و نفوذ به شبکه‌ها و تجهیزات کنترل صنعتی Schneider Electric، OMRON و پروتکل OPC UA هشدار جدی داده‌شده است. در لیست ذیل جزئیات بیشتری از این دارایی‌های آسیب‌پذیر را مشاهده می‌کنیم:

  • Schneider Electric MODICON and MODICON Nano PLCs, including (but may not be limited to) TM251, TM241, M258, M238, LMC058, and LMC078;
  • OMRON Sysmac NJ and NX PLCs, including (but may not be limited to) NEX NX1P2, NX-SL3300, NX-ECC203, NJ501-1300, S8VK, and R88D-1SN10F-ECT
  • OPC Unified Architecture (OPC UA) servers.  

 ابزارهای مذکور ماژولار بوده و می‌توانند به شکل کاملاً خودکار توسط مهاجمین اجرا شوند. این ابزارها دارای یک کنسول مجازی با یک رابط فرمان شبیه به رابط دستگاه‌های کنترل و اتوماسیون صنعتی هستند. متأسفانه این ماژول‌های خطرناک این امکان را ایجاد می‌نمایند که حتی مهاجمین با سطح مهارتی پایین، بتوانند قابلیت‌های پیشرفته مهاجمان حرفه‌ای را شبیه‌سازی نمایند و این برای صنایع کشور می‌تواند بسیار خطرناک باشد.

علاوه بر این، این گروه از مهاجمین از ابزاری استفاده کنند که یک درایور مادربرد آسیب‌پذیر شناخته‌شده به نام AsrDrv103.sys  را نصب می‌کنند و از آسیب‌پذیری با شناسه CVE-2020-15368  موجود در آن برای اجرای بدافزار در سطح هسته ویندوز استفاده می‌کنند. در ادامه مهاجمین با استفاده از تکنیک‌های حرکات جانبی سعی می‌کنند از راه‌های آشکار و پنهان میان شبکه‌های اداری، فاوا و نظایر آن به شبکه‌های صنعتی نفوذ کنند که لازم است صنایع کشور نسبت به آن آگاه باشند. در ادامه به تفکیک سازنده و پروتکل به این موضوع خواهیم پرداخت.

ابزار APT برای دستگاههای Schneider Electric

ابزار موردنظر برای تجهیزات شرکت اشنایدر دارای ماژولی‌هایی است که امکان ارتباط از طریق پروتکل معمول مدیریتی و مدباس TCP بر روی پورت 502 را فراهم می‌کند. این ماژول‌ها می‌تواند این امکان را بدهند که:

  • مهاجمین یک اسکن سریع جهت شناسایی PLCهای شرکت اشنایدر بر روی شبکه محلی صنعت انجام دهند. این اسکن با ارسال پیام‌های مالتی کست[1] UDP با پورت مقصد 27127 انجام می‌گیرد. لازم به ذکر است اسکن از طریق پروتکل UDP با پورت مقصد 27127 یک اسکن استاندارد است که توسط ایستگاه‌های کاری مهندسی برای شناسایی عادی PLC ها در شبکه‌های صنعتی استفاده می‌شود و ممکن است لزوماً نشان‌دهنده فعالیت‌های مخرب نباشد. این نکته بسیار مهم است که در تنظیم قواعد سیستم های تشخیص نفوذ صنعتی و SIEM به نحوی عمل نماییم که هشدار‌های منفی کاذب (به دلیل رفتار طبیعی شبکه) گزارش ندهیم. ما در امان، در حوزه خدمات شناسایی حملات به این نکات کلیدی نهایت توجه را داریم تا در بالاترین سطح کیفی بتوانیم به شرکت‌ها و صنایع کشور ارائه خدمات داشته باشیم.
  • این ماژول‌‌ها امکان اجرای حملات جست‌وجوی رمزهای عبور دستگاه‌های PLC را با استفاده از پروتکلCODESYS  یا سایر پروتکل‌های رایج و از طریق پورت 1740 UDP را میسر می‌کند. همان‌طور که در دوره‌های آموزشی تخصصی امنیت صنعتی امان همیشه تذکر می‌دهیم، چنانچه برای دسترسی به PLCها، DCS  و حتی ESD از رمز‌های عبور پیش‌فرض یا ساده استفاده نماییم مهاجمین با استفاده از این ابزارها می‌توانند حتی به تجهیزات لایه کنترل محلی مانند PLCها نیز دسترسی پیدا نمایند. در این هشدار تذکر داده‌شده است که امکان دارد این ماژول‌ها، سایر تجهیزاتی که از طریق CODESYS ارتباط برقرار می‌کنند را نیز موردحمله قرار دهند که زنگ خطری است برای برخی صنایع که از این تجهیزات و پروتکل مربوطه استفاده می‌کنند.

همان‌طور که در تصور نمادین ذیل مشاهده می‌کنیم، این ماژول‌ها امکان اجرای حملات ممانعت از خدمات (DoS) بر روی تجهیزات PLC را به نحوی فراهم می‌کنند که از طریق شبکه امکان دسترسی به کنترل‌کننده‌ها و مدیریت فرایند وجود نخواهد داشت.

تصویر نمادین نفوذ به یک DCS
  • این ماژول‌ها امکان اجرای حملات ممانعت از خدمات(DoS) با ارسال بسته‌های مرگ[1] علیه تجهیزات PLC را به نحوی فراهم می‌کند که امکان پیکربندی مجدد و راه‌اندازی مجدد PLC سلب خواهد شد.
  • این ماژول‌ها باعث قطع ارتباط کاربران مربوطه و سیستم مهندسی با PLC می‌شود و مهندسین بهره‌بردار یا تعمیر و نگهداری، مجبور خواهند شد مجدد به PLC درخواست تصدیق اصالت دهند. احتمال می‌رود مهاجمین از این طریق بتوانند نام کاربری و رمز‌های عبور ‌PLCها را به دست آورند.
  • این ماژول‌ها امکان ارسال فرمان‌های مختلف از طریق پروتکل مدباس را نیز فراهم می‌کند و این ویژگی می‌تواند برای PLCهای غیر از برند اشنایدر نیز کارا باشد که واحد‌های متولی امنیت صنایع کشور لازم است در این مورد تدابیری را اتخاذ نمایند.

در جدول ذیل مشخصات فنی تاکتیک‌ها و تکنیک‌های این ابزار در مورد برند اشنایدر را بر اساس چارچوب ATT&CK for ICS مشاهده می‌کنیم.

TacticTechnique
ExecutionCommand-Line Interface [T0807]
 Scripting [T0853]
PersistenceModify Program [T0889]
 System Firmware [T0857]
 Valid Accounts [T0859]
DiscoveryRemote System Discovery [T0846]
 Remote System Information Discovery [T0888]
Lateral MovementDefault Credentials [T0812]
 Program Download [T0843]
 Valid Accounts [T0859]
Collection 
 Monitor Process State [T0801]
 Program Upload [T0845]
 Monitor Process State [T0801]
Command and ControlCommonly Used Port [T0885]
 Standard Application Layer Protocol [T0869]
Inhibit Response FunctionBlock Reporting Message [T0804]
 Block Command Message [T0803]
 Denial of Service [T0814]
 Data Destruction [T0809]
 Device Restart/Shutdown [T0816]
 System Firmware [T0857]
Impair Process ControlModify Parameter [T0836]
 Unauthorized Command Message [T0855]
ImpactDenial of Control [T0813]
 Denial of View [T0815]
 Loss of Availability [T0826]
 Loss of Control [T0827]
 Loss of Productivity and Revenue [T0828]
 Manipulation of Control [T0831]
 Theft of Operational Information [T0882]

ابزار APT برای دستگاههای OMRON

ابزار موردنظر برای تجهیزات شرکت OMRON دارای ماژولی‌هایی است با امکانات ذیل:

  • این ماژول‌ها به مهاجمین این قابلیت را می‌دهد که از طریق پروتکل FINS  اقدام به شناسایی تجهیزات OMRON نمایند.
  • در شناسایی به کمک این ابزارها امکان دریافت و شناسایی آدرس MAC  تجهیزات صنعتی وجود دارد.
  • این ماژول‌ها به مهاجمین این قابلیت را می‌دهد که اطلاعات پروتکل‌ HTTP را که سوی تجهیزات صنعتی دریافت می‌شود را تجزیه‌وتحلیل نمایند.
  • این ماژول‌ها به مهاجمین این قابلیت را می‌دهد که به کمک روش سرشماری[2] به تجهیزات متصل به PLC  دسترسی پیدا کنند و همچنین بتوانند از تجهیزات متصل به PLC ، نمونه/داده‌ برداری انجام دهند.
  • این ماژول‌ها به مهاجمین این قابلیت را می‌دهد که هر نوع فایل دلخواهی را بر روی PLCها بازیابی یا از PLCها پشتیبان‌گیری نمایند.
  • درنهایت، این ماژول‌ها به مهاجمین این قابلیت را می‌دهد که بر روی این PLCها یک کد مخرب سفارشی را برای اهداف حملات دیگر و برای روز مبادا بارگذاری نمایند که امان در مورد این ویژ‌گی‌های به جد هشدار می‌دهد. این ماژول‌ها امکان غالب تعاملاتی که در بردار حملات، توسط مهاجمین در چارچوب ATT&CK for ICS ارائه‌شده است را فراهم می‌کند. تمامی این تکتیک‌ها و تاکتیک‌ها در دوره‌های آموزشی پیشگامان امنرم آرمان تبیین می‌شود. در جدول ذیل این تکنیک‌ها و تاکتیک‌ها مشخص‌شده‌اند.‌
TacticTechnique
Initial AccessRemote Services [T0886]
ExecutionCommand-Line Interface [T0807]
 Scripting [T0853]
 Change Operating Mode [T0858]
 Modify Controller Tasking [T0821]
 Native API [T0834]
PersistenceModify Program [T0889]
 Valid Accounts [T0859]
EvasionChange Operating Mode [T0858]
Discovery Network Sniffing [T0842]
 Remote System Discovery [T0846]
 Remote System Information Discovery [T0888]
Lateral MovementDefault Credentials [T0812]
 Lateral Tool Transfer [T0867]
 Program Download [T0843]
 Remote Services [T0886]
 Valid Accounts [T0859]
CollectionDetect Operating Mode [T0868]
 Monitor Process State [T0801]
 Program Upload [T0845]
Command and ControlCommonly Used Port [T0885]
 Standard Application Layer Protocol [T0869]
Inhibit Response FunctionService Stop [T0881]
Impair Process ControlModify Parameter [T0836]
 Unauthorized Command Message [T0855]
ImpactDamage to Property [T0879]
 Loss of Safety [T0837]
 Manipulation of Control [T0831]
 Theft of Operational Information [T0882]

ابزار APT برای  پروتکل OPC UA

ابزار موردنظر برای تجهیزاتی که پروتکل OPC UAرا پشتیبانی می‌کنند یا از آن استفاده می‌کنند دارای ماژولی‌هایی است با امکانات ذیل:

  • این ماژول‌ها به مهاجمین این قابلیت را می‌دهد که سرورهای OPC UA را شناسایی نمایند.
  • این ماژول‌ها به مهاجمین این قابلیت را می‌دهد که سرورهای OPC UA را به کمک نام‌های کاربری و رمز عبور پیش‌فرض یا سرقت شده مورد دسترسی قرار دهند.
  • علاوه بر موارد فوق این ماژول‌ها امکان نوشتن تگ‌ها توسط OPC UA را فراهم می‌کند که به جد قابلیتی با سطح ریسک بالا است و شرکت امان در مورد سوءاستفاده‌های آتی احتمالی در صنایع کشور (در صورت عدم ارتقاء) هشدار می‌دهد. لازم به ذکر است که در چند سال اخیر، در مورد قابلیت‌های OPC UA و ویژگی‌های امنیتی آن در دوره‌های آموزشی مطالب متعددی را خدمت مخاطبین گرامی امان ارائه کرده‌ایم. باوجوداین قابلیت‌ها، مشابه هر پروتکل دیگری لازم است مقوله به‌روزرسانی تجهیزات مرتبط را در دستور کار قرار دهیم.

در جدول ذیل این تکنیک‌ها و تاکتیک‌ها مشخص‌شده‌اند.‌

TacticTechnique
ExecutionCommand-Line Interface [T0807]
 Scripting [T0853]
PersistenceValid Accounts [T0859]
DiscoveryRemote System Discovery [T0846]
 Remote System Information Discovery [T0888]
Lateral MovementValid Accounts [T0859]
CollectionMonitor Process State [T0801]
 Point & Tag Identification [T0861]
Command and ControlCommonly Used Port [T0885]
 Standard Application Layer Protocol [T0869]
ImpactManipulation of View [T0832]
 Theft of Operational Information [T0882]

راهکارهای مقابله و کاهش ریسک

بر اساس اطلاعات در دسترسی فعلی امان تاکنون در کشور آلودگی مرتبط با این ابزارهای APT گزارش نشده است. در ادامه برخی راهکارهای کاهش ریسک و مقابله با ابزارهای فوق همراه با تجربیات امان در این حوزه ارائه می‌شود. لازم به ذکر است که این راهکارها برای تمامی محیط‌های صنعتی آزموده نشده است و حتماً توصیه می‌شود که قبل از پیاده‌سازی در شبکه صنعتی در شرایط آزمایشگاهی یا محدود مورد آزمایش قرار گیرند.

  • توصیه معمول در این موارد این است که شبکه‌های صنعتی (OT) چنانچه ارتباطی با شبکه اداری، فاوا، اینترنت و نظایر آن دارند در سریع‌ترین زمان این ارتباطات قطع یا محدود شود. لازم به ذکر است در بسیاری از صنایع مشاهده می‌کنیم که تصور به ایزوله بودن کامل شبکه صنعتی وجود دارد اما ارزیابی‌های متعدد شاهد آن بودیم که اتصالاتی میان شبکه OT با شبکه IT وجود دارد.
  • چنانچه در صنعت خود از ضدبدافزار[3]یا سیستم تشخیص نفوذ (IDS) استفاده می‌کنید (در صورت به‌روزرسانی شرکت ارائه‌دهنده) هرچه سریع‌تر محصول امنیتی خود را به‌روزرسانی نمایید.
  • ·         استفاده از تجهیزات جمع‌آوری لاگ‌های امنیتی نظیر IDSها و SIEM توصیه می‌شود. به مدیران شبکه‌ها‌‌ی کنترل صنعتی توصیه می‌شود که به کمک محصولاتی مانند SIEM کنترل صنعتی و سیستم تشخیص نفوذ صنعتی (IDS) به شکل مستمر کلیه تجهیزات سیستم و ترافیک عبوری را پایش نمایید.
  • چنانچه در شبکه‌ صنعتی یا تجهیزات مربوطه امکان تصدیق هویت چند عامله یا چندمرحله‌ای دارید حتماً آن را فعال نمایید.

جهت مطالعه سایر راهکارهای امنیتی و دسترسی به گزارش کامل این ویژه نامه روی  این لینک کلیک نمایید.

چنانچه تمایل دارید گزارش حملات، آسیب‌پذیری‌ها و ویژه‌نامه‌هایی مشابه این گزارش را دریافت نمایید، اطلاعات تماس به‌ویژه آدرس ایمیل به همراه معرفی سازمان/صنعت خود را به نشانی info@AmanSec.ir ارسال نمایید تا به شکل رایگان این گزارش‌ها را دریافت نمایید.




[1] https://www.cisa.gov/uscert/ncas/alerts/aa22-103a

[2] multicast

[3] packet of death

[4] Polling

[5] ‌ antivirus

قطع برق گسترده در تایوان، آیا منشاء سایبری دخیل است؟

قطع برق گسترده در تایوان، آیا حمله سایبری مطرح است؟

به گزارش واحد آگاهی بخشی امنیت صنعتی امان، امروز پنجشنبه، دو شهر بزرگ تایوان و یکی از صنایع تولیدی مهم تایوان با قطع برق مواجه شدند. بیش از پنج  میلیون خانوار تحت تأثیر این  خاموشی قرار گرفتند. این خاموشی  در تایپه، پایتخت تایوان، و کائوسیونگ، دومین شهر بزرگ تایوان رخ داد. شرکت برق تایوان در بیانیه‌ای کوتاه عنوان کرد که سیستم شبکه برق جنوبی این کشور با نقصی مواجه شده است که باعث خاموشی در جنوب تایوان شده است. به گفته این شرکت، این نقص در نیروگاه Hsinta کائوسیونگ، بزرگ‌ترین نیروگاه برق در جنوب تایوان رخ‌داده است. مرکز تولید پردازنده آیفون در تاینان، در جنوب تایوان است که در پی این حمله دچار خاموشی شده است. با توجه به تحلیل حملات سایبری گذشته به زیرساخت‌های برق در تایوان که توسط شرکت امان انجام گرفت است و مناقشات اخیر میان چین و تایوان احتمال وجود منشأ سایبری در  این خاموشی در حال بررسی است. متخصصین امان در حال حاضر نمی‌توانند در مورد وجود منشأ سایبری در این  اختلال و خاموشی حاصل از آن اظهارنظر نمایند اما به‌زودی (در صورت کسب اطلاعات بیشتر ) نتایج بررسی‌ها را در سایت و صفحات امان در شبکه‌های اجتماعی  منتشر خواهیم کرد. 

به روزرسانی:

دولت تایوان خطای انسانی در عملیات تعمیر سالیانه یکی از ژنراتورهای نیروگاه سینتا را عامل وقوع این حادثه اعلام کرده است.

👇امان را در اینستاگرام دنبال کنید:

https://www.instagram.com/Aman_Sec/

👇امان را در تلگرام دنبال کنید:

https://t.me/Aman_sec
👇امان را در توییتر دنبال کنید:

https://twitter.com/Aman_Sec

درس آموخته‌های حوادث صنعتی و سایبری از صنایع دنیا به شکل مبسوط در آموزش‌های  تخصصی  امنیت صنعتی امان ارائه می‌شود.

ما در امان همراه مطمئن سازمان‌ها، صنایع، شرکت‌های مادر تخصصی و غیره هستیم تا با ارائه خدمات مشاوره و امن‌سازی مبتنی براستانداردها مورد تائید مراجع ذی‌صلاح و با اتکا به تجربه عملیاتی و آزمایش در محیط‌های امن، از زمان طراحی تا پیاده‌سازی و بهره‌برداری سیستم‌های کنترل صنعتی، اسکادا، تله‌متری، دیسپاچینگ و نظایر آن‌ها کمک نماییم تا صنایع و سازمان‌هایی داشته باشیم که طرح‌های امنیتی آن‌ها پشتوانه دقیق و اصولی داشته باشد و از انجام کارهای سلیقه‌ای و غیراصولی خودداری نماییم.

 با امان همراه باشید تا از اخبار تخصصی و دستاوردهای جدید حوزه امنیت سیستم‌های کنترل و اتوماسیون صنعتی آگاه شوید.

مطالب مرتبط:

امن سازی سیستم‌های کنترل صنعتی, امن سازی سیستم‌های کنترل و اتوماسیون صنعتی, امنیت سایبری اتوماسیون صنعتی و اسکادا, امن سازی سیستم‌های کنترل صنعتی, امنیت سایبری صنعتی, الزامات امنیت سایبر صنعتی, الزامات امنیت سایبر اسکادا,

انتشار آسیب پذیری جدید در محصول WinCC و PCS 7

به گزارش واحد تخصصی آگاهی بخشی سایبر صنعتی شرکت پیشگامان امن آرمان(امان)، اخیرا شرکت زیمنس آسیب‌پذیری‌های جدیدی را در محصولات WinCC و PCS 7 گزارش داده است. این آسیب پذیری‌ نمره بالای 9.9 را دارد و می‌تواند از راه دور اکسپلویت شود. این آسیب‌پذیری بر روی محصولات SIMATIC SCADA HMI که در ادامه آورده شده است، تأثیر می‌گذارد:

SIMATIC PCS 7 v8.2 and earlier: All versions

SIMATIC PCS 7 v9.0: All versions

SIMATIC PCS 7 v9.1: All versions

SIMATIC WinCC v7.4 and earlier: All versions

SIMATIC WinCC v7.5: All versions prior to v7.5 SP2 Update 5

SIMATIC WinCC v15 and earlier: All versions

SIMATIC WinCC v16: All versions

SIMATIC WinCC v17: All versions

زیمنس به‌روزرسانی‌هایی را برای چندین محصول آسیب‌دیده منتشر کرده و به‌روزرسانی به آخرین نسخه‌ها را توصیه می‌کند و همچنین در حال آماده سازی، به روز رسانی‌های بیشتر است و اقدامات متقابل خاصی را برای محصولاتی که به روز رسانی نشده یا هنوز در دسترس نیستند توصیه می‌کند. زیمنس راه‌حل‌ها و راهکارهای کاهش‌دهنده خاصی را که کاربران می‌توانند برای کاهش مخاطره اعمال کنند، شناسایی کرده است که برای اطلاعات بیشتر و تخصصی روی این لینک کلیک نمایید. ما در امان همراه شما هستیم تا بتوانیم با کمترین تبعات منفی به‌روزرسانی امن سیستمهای کنترل و اتوماسیون صنعتی را انجام دهیم.

با امان همراه باشید تا از اخبار تخصصی به‌روز حوزه امنیت سیستم‌های کنترل و اتوماسیون صنعتی آگاه باشید.

رسالت امان در آگاهی‌بخشی این است که بتوانیم از این گونه مخاطرات در صنایع کشور پیشگیری نماییم.

مطالب مرتبط:

شرکت پیشگامان امن آرمان (امان)

مصاحبه با مدیرعامل امان پیرو حمله به سامانه هوشمند سوخت

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، روز سه‌شنبه 4 آبان تمام کشور درگیر یک اختلال در سامانه هوشمند سوخت شدند. مراجعه‌کنندگان به جایگاه‌های سوخت با پیام‌هایی از قبیل «حمله سایبری» و شماره تلفن ۶۴۴۱۱ بر روی صفحه دیجیتال پمپ‌ها مواجه می‌شدند. این موضوع واکنش‌های گوناگونی در میان مردم و کارشناسان امنیت سایبری داشت که همواره نگرانی و دغدغه‌های خود را بیان می‌کنند. (جهت دانلود فایل pdf این مصاحبه اینجا کلیک نمایید)

مدیرعامل شرکت پیشگامان امن‌آرمان (امان)، در مصاحبه با افتانا می‌گوید:

متأسفانه کشور عزیزمان ایران از سال 1389-1388 به شکل جدی و علنی درگیر جنگ‌های سایبری از سوی کشورهای متخاصم شده است و در این سال‌ها تجارب متعدد مواجهه با حملات سایبر-فیزیکی را در سازمان‌ها و صنایع متعدد کشور داشته‌ایم.

روند این حملات در این سال‌ها ادامه داشته و هر ساله شاهد حوادث متعددی در صنایع و سازمان‌ها هستیم که در بسیاری از موارد با وجود زحمات مدیران و کارشناسان مربوطه، منشأ سایبری برای آن‌ها شناسایی نمی‌شود. بر اساس بررسی‌های کارشناسی و با استناد به بیانیه‌های مراجع ذی‌صلاح کشور، بسیاری از این حوادث منشأ سایبری ندارند. بااین‌وجود همانطور که برای ریشه‌یابی و تحلیل سقوط هواپیما جعبه سیاه در آن تعبیه شده، یکی از پیش‌نیازهای زیرساختی در سازمان‌ها و صنایع، پیاده‌سازی و بهره‌گیری‌ از تجهیزات و رویه‌های ثبت، تحلیل و پایش رویدادهای امنیتی و عملکردی است تا بتوانیم در زمان وقوع حوادث و حملات سایبری یا سایبر-فیزیکی، فرایندهای جرم‌یابی سایبری (Forensic) را به شکل علمی و عملی انجام دهیم. متأسفانه علیرغم تلاش‌ها و زحمات مسئولین محترم و کارشناسان زحمت‌کش، آن‌گونه که باید در زمینه‌ی‌ پیاده‌سازی مناسب و جامع این پیش‌نیازها موفق نبوده‌ایم و لازم است با همت مضاعف این نقاط ضعف را تبدیل به نقطه قوت نماییم.

در حوزه امنیت سایبری هیچ‌گاه نباید مغرور شویم

بر اساس تحلیل‌های تخصصی حملات سایبری که ما در شرکت پیشگامان امن‌آرمان (امان) انجام می‌دهیم به این نتیجه رسیدیم که متأسفانه به دلیل تشدید مناقشات در منطقه، از بیستم اردیبهشت 1399، روند جنگ‌های سایبری علیه کشور وارد مرحله جدیدی شده است. از سال گذشته تاکنون این روند به شکل روزافزونی در حال افزایش است و همواره شاهد تلاش‌های متعدد مهاجمین و نفوذگران برای ورود به شبکه‌های سازمانی و صنایع کشور هستیم. هدف برخی از این تلاش‌ها دسترسی به اطلاعات دارای طبقه‌بندی سازمان‌ها است و در مواردی دیگر متأسفانه شاهد تخریب یا خرابکاری سایبری در سامانه‌ها هستیم.

حمله اخیر به سامانه‌های هوشمند سوخت بنزین و دیزل

در مورد حمله سایبری سه‌شنبه 4 آبان که منجر به اختلال در سامانه هوشمند سوخت شد لازم می‌دانم در ابتدا به این نکته اشاره کنیم که قطعاً تلاش‌های متعددی برای ارتقاء امنیت سایبر-فیزیکی شرکت ملی پخش فرآورده‌های نفتی ایران و زیرمجموعه‌های آن انجام گرفته است اما آنچه به نظر می‌رسد وجود ضعف در بخش‌هایی از فرایند‌های امن‌سازی است. قطعاً می‌دانیم که امنیت همچون زنجیری است که حتی اگر یکی از حلقه‌های آن ضعیف باشد، آن زنجیر به‌سادگی ازهم‌گسیخته خواهد شد.
در مورد حمله مذکور، می‌دانیم که سامانه‌های هوشمند سوخت بنزین و دیزل یک شبکه بسیار وسیع و گسترده در سطح کشور است که تجهیزات متعدد و متنوعی را از جایگاه‌های سوخت تا مراکز داده و ستاد شرکت ملی پخش فرآورده‌های نفتی ایران دارد. این سامانه‌ها مدیریت، کنترل و نظارت بالغ بر چهار هزار جایگاه سوخت که شامل 58 هزار نازل است را بر عهده دارند. همچنین این شبکه گسترده ارتباطات تنگاتنگی با مراکز تلفن جایگاه‌های سوخت، مناطق پخش، دفاتر خدمات کارت و مرکز مدیریت کارت دارد.

از سوی دیگر این شبکه ارتباطات دیگری را با سازمان‌های دیگر نظیر بانک‌ها و سامانه‌ پلیس دارد. وجود این تجهیزات متنوع و متعدد و گستردگی جغرافیایی آن باعث می‌شود که اگر راهکارهای علمی، اصولی و عملی برای امن‌سازی این‌گونه شبکه‌ها طراحی، پیاده‌سازی و پایش نشود قطعاً با توجه به وضعیت بحرانی جنگ‌های سایبری در منطقه و جهان شاهد تکرار این‌گونه حملات خواهیم بود. یکی از چالش‌های مقوله امن‌سازی این نمونه شبکه‌ها و سازمان‌ها وجود تجهیزات خاص‌منظوره نظیر دستگاه‌های کارت‌خوان سوخت، سامانه‌های ميترينگ و تجهیزات دیگر مرتبط در جایگاه‌های سوخت است. در این نمونه‌ شبکه‌ها قطعاً باید بر اساس راهبردهای امنیتی نظیر دفاع در عمق، امن‌سازی لایه‌ای بخش‌های مختلف شبکه نظیر کارت‌های سوخت، جایگاه‌های سوخت، مخازن، Poolerها، مراکز منطقه‌ای و پخش، مراکز پشتیان و مراکز داده در نظر گرفته شود.

چالش‌های امنیتی مرتبط با حمله اخیر به سامانه‌های هوشمند سوخت بنزین و دیزل

 متأسفانه علیرغم زحمات بسیاری که مسئولین و متولیان امر در مقوله امن‌سازی سایبری اغلب سازمان‌ها و صنایع کشور کشیده‌اند، شاهد این هستیم که در برخی موارد فرایند امن‌سازی به شکل غیراصولی، غیرمنسجم و به شکل سلیقه‌ای اجرا است. لازم به ذکر است که در آغاز، پروژه سامانه هوشمند سوخت با قدرت شروع شد و حمایت‌های مناسبی از آن صورت گرفت اما به‌مرور همانند پروژه‌های متعددی در کشور از این حمایت‌ها کاسته شد و همین امر موجب کاهش توان امنیتی این شبکه شد.

می‌دانیم امنیت یک دانش است و طراحی تا اجرای فرایندهای آن نیاز به دانش فنی و تخصص دارد. از سویی دیگر باید همیشه در کنار حفظ و توسعه کسب‌وکار، امنیت آن را ارتقاء داد و به‌روز نگه داشت چرا که به‌عنوان‌مثال، سامانه‌ای که ده سال پیش امن بوده است با توسعه فناوری و از رده خارج شدن برخی تجهیزات لزوماً دیگر امن نخواهد بود.

 یکی از ابزارهای این دانش استانداردهای معتبر و الزامات امنیتی بالادستی است که توسط مراجع‌ ذی‌صلاح توصیه یا ارائه می‌شوند. این استانداردها و به‌روش‌ها به ما کمک می‌کنند تا بتوانیم در قالب انجام فرایندهای مدیریت ریسک و ارزیابی امنیتی، مبتنی بر دانش روز دنیا طرح‌های امنیتی را ارائه نماییم و بر اساس تجارب سازنده بین‌المللی و داخلی راهکاری مناسب و مورد تائید نهادهای امنیتی کشور را اجرایی نماییم. یکی از اصول اولیه امن‌سازی اصولی سامانه‌ها و شبکه انجام فرایندهای کمی و غیرسلیقه‌ای است به‌نحوی‌که بتوانیم امنیت را اندازه‌گیری نماییم و میزان موفقیت خود را در تحقق اهداف امنیت محاسبه نماییم. اگر قادر به اندازه‌گیری امنیت نباشیم قادر به بهبود آن نیز نخواهیم بود.

در امنیت باید کمّی‌سازی را جدی بگیریم

متأسفانه در حمله مذکور شاهد این بودیم که تمام اطلاعات 58 هزار نازل جایگاه‌های سوخت که شامل 44 هزار نازل بنزینی و 14 هزار نازل دیزلی بود توسط مهاجمین از بین رفتند. به تعبیری دیگر در جایگاه‌های سوخت اطلاعات رایانه‌های صنعتی و کارت‌خوان‌های سوخت به‌طور کامل، هم‌زمان و هماهنگ و بر اساس یک سناریو از پیش تعیین‌شده حذف شدند. همین مقوله باعث اختلال سراسری در 4 هزار جایگاه سوخت در سراسر کشور شد و ارتباط جایگاه‌های سوخت با مراکز داده سامانه هوشمند سوخت قطع شد. در کنار این حمله گسترده، هم‌زمان شاهد حملات سایبری جانبی دیگری به تابلوهای شهری بودیم.

افزایش تبعات حمله و حملات مشابه

این نوع حملات گسترده و چندجانبه برای اولین بار در دنیا نیست که اتفاق می‌افتد و نمونه‌های متعددی در خارج از کشور توسط تیم تخصصی تحلیل حملات سایبری شرکت پیشگامان امن‌آرمان (امان)، شناسایی، مورد بررسی و موشکافی قرار گرفته است. اگرچه اظهارنظر در مورد بردارهای حمله‌ به سامانه‌های هوشمند سوخت و نقاط ورود مهاجمین به شبکه در حال حاضر ممکن نیست و نیاز است تا بررسی‌های گروه‌های تخصصی فنی تکمیل گردد اما قاعدتاً تمامی سناریو‌های نفوذ و اختلال در حال بررسی و تحلیل می‌باشد و نتایج آن توسط مراجع ذی‌صلاح کشور در صورت صلاحدید منتشر خواهد شد. با این وجود شاهد این هستیم که مهاجمین کاملاً با برنامه اقدام به طرح‌ریزی و اجرای این حمله نمودند و اشراف اطلاعاتی مناسبی از زیرساخت‌های مورد نفوذ داشتند.


اظهارنظر در مورد منشأ حملات سایبری کار ساده‌ای نیست

بر اساس تجارب ما در حملات مشابه، در این سبک از حملات، مهاجمین تلاش می‌کنند ضمن آسیب زدن به سامانه‌های هدف، جهت گسترش تبعات حمله و افزایش خسارات، به نحوی عمل نمایند که فرایند مقابله با بحران و بازیابی بعد از حادثه با کندی روبه‌رو شود. در این حمله شاهد این بودیم که میزان تخریب و نحوه‌ی پاک کردن اطلاعات و اختلال در شبکه به نحوی بود که نیاز شد برای بازیابی جایگاه‌ها و ارائه خدمت به مردم در حوزه سوخت‌رسانی، کارشناسان شرکت ملی پخش فرآورده‌های نفتی به تک‌به‌تک جایگاه‌های سوخت مراجعه حضوری نمایند و هر نازل و رایانه صنعتی را با اختصاص زمان قابل‌توجه به شکل محلی مجدد برنامه‌ریزی نمایند، همین امر باعث شد که فرایند بازیابی حمله به‌سرعت امکان‌پذیر نباشد و اختلال در شبکه نیز مزید بر علت شود.

این نوع اختلال که یک سازمان را با این مشکل روبه‌رو می‌کند که لازم باشد کارشناسان خود را در ابعاد وسیع جغرافیایی به‌تمامی نقاط موردحمله اعزام نمایند تا بتوانند فرایند بازیابی را به شکل دستی و محلی انجام دهند در حملات سایبری دیگر نیز خاموشی سراسری غرب اوکراین در سال 2015 (در حوزه توزیع و فوق توزیع برق) دیده‌ شده بود. اگرچه در حمله اخیر، مسئولین امر در بازیابی سامانه‌های مورد حمله، نمره عالی نمی‌گیرند اما قطعا‌ تلاش‌های ارزشمند شبانه‌روزی آنها باعث شد که به نسبت وسعت گسترده سامانه‌های مورد حمله، در زمان خوبی فرایند ارائه سرویس از سرگرفته شود و جایگاه‌های سوخت به تدریج به روال عادی بازگردند. می‌توانیم از این تجارت و حملات گذشته درس بگیریم و با همکاری با متخصصین امر، رویه‌های پیشگیری از حملات، مقابله با حملات و اقدامات بازیابی پس از حادثه را به شکل مناسب پیاده‌سازی نماییم تا در این زمان‌ها کمتر غافل‌گیر شویم. طرح‌های تاب‌آوری سایبری یا تداوم کسب و کار برهمین اساس تدوین می‌شوند و کمک می‌نمایند تا در بدترین حالت فرضی که مهاجمین بیشترین خسارات را وارد می‌نمایند نیز بتوان به فرایند کسب و کار سازمان تداوم بخشید.

.

سخن آخر

همان‌طور که بیان شد در یک سال گذشته شاهد حملات متعددی به سازمان‌ها و صنایع کشور بودیم و به نظر می‌رسد علیرغم زحمات مسئولین مربوطه آن‌گونه که باید مقوله امنیت سایبری در سازمان‌های و صنایع کشور جدی گرفته نشده است. یکی از چالش‌های دیگر ما در کشور این است که برخی پروژه‌های با حمایت خوبی شروع می‌شوند و مسائل امنیتی در ابتدای امر دیده می‌شود اما به‌مرور، از توجه به امنیت کاسته می‌شود، این مهم فراموش می‌شود یا توسعه متوازن در همه بخش‌ها به فراموشی سپرده می‌شود. ما معتقدیم که حل بحران‌های مرتبط با حملات سایبری به زیرساخت‌های حیاتی و حساس نظیر شرکت پخش فرآورده‌های نفتی با راهکارهای علمی، اصولی و عملی، همراه با اتحاد و همدلی همه بازیگران فعال در امنیت سایبری کشور ممکن است و در این موارد صرفاً به دنبال مقصر گشتن راهگشا نخواهد بود.

استانداردها، به‌روش‌ها، تجارب ملی و بین‌المللی می‌توانند راهگشا باشد تا در قالب انجام فرایندهای مدیریت ریسک و ارزیابی امنیتی، مبتنی بر دانش روز دنیا طرح‌های امنیتی را ارائه نماییم و بر اساس تجارب سازنده راهکاری مناسب و مورد تائید نهادهای امنیتی کشور را اجرایی نماییم. البته که وحدت رویه بین نهادهای امنیتی و مشخص بودن نهاد مرجع در هر حوزه، از ضرورت‌هایی است که علیرغم تلاش‌های فراوان، متأسفانه به شکل مطلوب در کشور اجرایی نشده است. متأسفانه در پی این حمله شاهد بروز علنی اختلافات بین برخی مسئولین محترم و نهادی‌های بالادستی بودیم که در فضای عمومی تأثیر مثبتی ندارد و راهگشا نیست. به نظر ضروری است طی یک توافق ملی تنها یک نهاد حاکمیتی اجازه اظهار نظر در خصوص حادثه سایبری و جزئیات آن داشته باشد تا افکار عمومی دچار ابهام و سردرگمی نشود.

اگرچه در حمله اخیر، مسئولین امر در بازیابی سامانه‌های مورد حمله، نمره عالی نمی‌گیرند اما قطعا‌ تلاش‌های ارزشمند شبانه‌روزی آنها باعث شد که به نسبت وسعت گسترده سامانه‌های مورد حمله، در زمان خوبی فرایند ارائه سرویس از سرگرفته شود و جایگاه‌های سوخت به تدریج به روال عادی بازگردند.  بر خود واجب می‌دانم که به این نکته نیز اشاره کنم که در این نمونه حملات، چنانچه به مردم و سرمایه‌های مردمی آسیب رسیده است لازم است مسئولین مربوطه ضمن پذیرش کاستی‌ها از مردم فهیم ایران عذرخواهی نمایند؛ به‌طور خاص در این حمله شاهد این بودیم که مقام محترم ذی‌ربط، از مردم عذرخواهی نمودند. امیدواریم این رفتار پسندیده به‌عنوان یک اقدام ارزشمند در نظر گرفته شود و فرهنگ عذرخواهی، بیش‌ازپیش، به یک فرهنگ سازمانی در کشور تبدیل شود و همیشه به درک عمیق و دقت نظر مردم عزیزمان که سرمایه اصلی کشور هستند احترام بگذاریم. در نهایت لازم می‌دانیم توصیه نماییم که در حوزه راهکار‌های بازیابی شبکه و سامانه‌ها، نهایت دقت و اصول فنی امنیتی را در بالاترین سطح ممکن در نظر بگیریم تا مشابه تجارب برخی حملات در دنیا، مجدد این شبکه مورد حمله سایبری قرار نگیرد. همچنین سایر سازمان‌ها و صنایع کشور به‌ویژه در حوزه برق، آب، گاز و غیره نیز (علی‌رغم همه اقدامات ارزشمندی که تاکنون داشته‌اند) لازم است بیش‌ازپیش به مقوله امنیت سایبری توجه نمایند تا به سرمایه‌های ملی و مردمی کمتر آسیب رسد.

(جهت دانلود فایل pdf این مصاحبه اینجا کلیک نمایید)