هدف امان ارائه خدمات و محصولات بسیار باکیفیت در حوزه امنیت سایبری فناوریهای عملیات (OT)، ارتباطات و اطلاعات (ICT) با تمرکز ویژه بر روی امنیت سیستم های کنترل و اتوماسیون صنعتی، سیستم های اسکادا و نظارت،DCS ، تلهمتری، دیسپاچینگ و سیستم های حفاظت صنعتی میداند.
📢 سند توصیه های امنیتی جهت پیشگیری از گسترش حملات سایبری به سیستم های صنعتی بر اساس حمله به صنعت فولاد آماده شد .
🔖هدف این سند، ارائه توصیه های امنیتی ضربالاجلی جهت پیشگیری از گسترش حملات سایبری به سیستم های صنعتی کشور است. لازم به ذکر است که این توصیه ها بر اساس تجارب گذشته و حملات مشابه اخیر به صنایع کشور ارائهشده است.
⛑️در این سند به جزئیات فنی حملهی اخیر و نحوه آلودگی در صنایع فولاد پرداخته نمیشود و صرفاً توصیههای امنیتی جهت پیشگیری بیان خواهد شد. دلیل این امر این است که ارائه جزئیات فنی حمله مذکور در واحدهای صنعتی فولاد کشور به شکل رسمی از سوی مراجع ذی صلاح اطلاع رسانی خواهد شد و شرکت امان به این رویه احترام میگذارد.
🟣 صنایعی که تمایل دارند این سند را دریافت نمایند از طریق ایمیل یا تلفن با امان تماس بگیرند . Info@AmanSec.ir 88581798 (021)
سیستم های کنترل و اتوماسیون صنعتی (DCS، PLC، اسکادا، تلهمتری، دیسپاچینگ، ESD و غیره) ازجمله اهداف آسیبپذیر در مقابل حملات سایبریاند. دلایل متعددی برای این آسیبپذیریهای قابلتوجه میتوان ذکر کرد. افزایش انگیزه مهاجمان و سوق پیدا کردن جنگهای سایبری به سمت زیرساختهای حیاتی صنعتی یکی از این دلایل است.
بهرهگیری روزافزون صنایع از فناوریهای جدید بهویژه در بخش سیستم های حفاظت و کنترل، دلیل دیگر گسترده بودن اهداف قابل تهدید در صنایع است. گستردگی و پیچیدگیهای فنی، جغرافیایی و سازمانی صنایع که معمولاً با عدم یکپارچگی مدیریت امنیت سایبری نیز همراه است موجب میشود بخشهای مختلفی از سیستم ها و تجهیزات این مجموعه ها در معرض تهدید باشد.
بهتازگی سازمانهای NSA، DOE، CISA،FBI [1]در خصوص هک و نفوذ به سیستم های کنترل صنعتی (ICS)، سیستم های اسکادا(SCADA) و PLCهای مرتبط با برندها و پروتکل ذیل هشدار دادهاند:
Schneider Electric programmable logic controllers (PLCs)
OMRON Sysmac NEX PLCs
Open Platform Communications Unified Architecture (OPC UA) servers
در این هشدار تأکید شده است که مهاجمین در این نفوذها توانستهاند دسترسی کاملی به شبکههای صنعتی قربانی پیدا نمایند. یکی از نکات قابلتوجه که در این حملات گزارش دادهشده این است که مهاجمین از ابزارهای توسعه دادهشده خاصمنظورهای استفاده کردهاند تا بتوانند سطح دسترسی و ابعاد حمله را تا عمق سیستم های کنترل صنعتی (که PLCها و DCSها هستند) گسترش دهند. در این حملات مهاجمین از مرحله شناسایی، نفوذ اولیه، گسترش نفوذ و وارد آمدن حملات از این ابزارهای خاصمنظوره استفاده مینمایند که در تجارب بالغبر هشتساله رصد حملات توسط شرکت امان نیز کمتر شاهد آن بودیم.
در این حملات شاهد این بودیم که سیستم های کنترل صنعتی از نوع ایستگاههای مهندسی دارای سیستمهای عامل ویندوز، از اکسپلویتهای آسیبپذیریهای شناختهشده درایورهای مادربردهای ASRock مورد نفوذ قرار گرفتند.
همانطور که در ابتدای این گزارش بیان شد، اخیراً در خصوص هک و نفوذ به شبکهها و تجهیزات کنترل صنعتی Schneider Electric، OMRON و پروتکل OPC UA هشدار جدی دادهشده است. در لیست ذیل جزئیات بیشتری از این داراییهای آسیبپذیر را مشاهده میکنیم:
Schneider Electric MODICON and MODICON Nano PLCs, including (but may not be limited to) TM251, TM241, M258, M238, LMC058, and LMC078;
OMRON Sysmac NJ and NX PLCs, including (but may not be limited to) NEX NX1P2, NX-SL3300, NX-ECC203, NJ501-1300, S8VK, and R88D-1SN10F-ECT
OPC Unified Architecture (OPC UA) servers.
ابزارهای مذکور ماژولار بوده و میتوانند به شکل کاملاً خودکار توسط مهاجمین اجرا شوند. این ابزارها دارای یک کنسول مجازی با یک رابط فرمان شبیه به رابط دستگاههای کنترل و اتوماسیون صنعتی هستند. متأسفانه این ماژولهای خطرناک این امکان را ایجاد مینمایند که حتی مهاجمین با سطح مهارتی پایین، بتوانند قابلیتهای پیشرفته مهاجمان حرفهای را شبیهسازی نمایند و این برای صنایع کشور میتواند بسیار خطرناک باشد.
علاوه بر این، این گروه از مهاجمین از ابزاری استفاده کنند که یک درایور مادربرد آسیبپذیر شناختهشده به نام AsrDrv103.sys را نصب میکنند و از آسیبپذیری با شناسه CVE-2020-15368 موجود در آن برای اجرای بدافزار در سطح هسته ویندوز استفاده میکنند. در ادامه مهاجمین با استفاده از تکنیکهای حرکات جانبی سعی میکنند از راههای آشکار و پنهان میان شبکههای اداری، فاوا و نظایر آن به شبکههای صنعتی نفوذ کنند که لازم است صنایع کشور نسبت به آن آگاه باشند. در ادامه به تفکیک سازنده و پروتکل به این موضوع خواهیم پرداخت.
ابزار موردنظر برای تجهیزات شرکت اشنایدر دارای ماژولیهایی است که امکان ارتباط از طریق پروتکل معمول مدیریتی و مدباس TCP بر روی پورت 502 را فراهم میکند. این ماژولها میتواند این امکان را بدهند که:
مهاجمین یک اسکن سریع جهت شناسایی PLCهای شرکت اشنایدر بر روی شبکه محلی صنعت انجام دهند. این اسکن با ارسال پیامهای مالتی کست[1] UDP با پورت مقصد 27127 انجام میگیرد. لازم به ذکر است اسکن از طریق پروتکل UDP با پورت مقصد 27127 یک اسکن استاندارد است که توسط ایستگاههای کاری مهندسی برای شناسایی عادی PLC ها در شبکههای صنعتی استفاده میشود و ممکن است لزوماً نشاندهنده فعالیتهای مخرب نباشد. این نکته بسیار مهم است که در تنظیم قواعد سیستم های تشخیص نفوذ صنعتی و SIEM به نحوی عمل نماییم که هشدارهای منفی کاذب (به دلیل رفتار طبیعی شبکه) گزارش ندهیم. ما در امان، در حوزه خدمات شناسایی حملات به این نکات کلیدی نهایت توجه را داریم تا در بالاترین سطح کیفی بتوانیم به شرکتها و صنایع کشور ارائه خدمات داشته باشیم.
این ماژولها امکان اجرای حملات جستوجوی رمزهای عبور دستگاههای PLC را با استفاده از پروتکلCODESYS یا سایر پروتکلهای رایج و از طریق پورت 1740 UDP را میسر میکند. همانطور که در دورههای آموزشی تخصصی امنیت صنعتی امان همیشه تذکر میدهیم، چنانچه برای دسترسی به PLCها، DCS و حتی ESD از رمزهای عبور پیشفرض یا ساده استفاده نماییم مهاجمین با استفاده از این ابزارها میتوانند حتی به تجهیزات لایه کنترل محلی مانند PLCها نیز دسترسی پیدا نمایند. در این هشدار تذکر دادهشده است که امکان دارد این ماژولها، سایر تجهیزاتی که از طریق CODESYS ارتباط برقرار میکنند را نیز موردحمله قرار دهند که زنگ خطری است برای برخی صنایع که از این تجهیزات و پروتکل مربوطه استفاده میکنند.
همانطور که در تصور نمادین ذیل مشاهده میکنیم، این ماژولها امکان اجرای حملات ممانعت از خدمات (DoS) بر روی تجهیزات PLC را به نحوی فراهم میکنند که از طریق شبکه امکان دسترسی به کنترلکنندهها و مدیریت فرایند وجود نخواهد داشت.
تصویر نمادین نفوذ به یک DCS
این ماژولها امکان اجرای حملات ممانعت از خدمات(DoS) با ارسال بستههای مرگ[1] علیه تجهیزات PLC را به نحوی فراهم میکند که امکان پیکربندی مجدد و راهاندازی مجدد PLC سلب خواهد شد.
این ماژولها باعث قطع ارتباط کاربران مربوطه و سیستم مهندسی با PLC میشود و مهندسین بهرهبردار یا تعمیر و نگهداری، مجبور خواهند شد مجدد به PLC درخواست تصدیق اصالت دهند. احتمال میرود مهاجمین از این طریق بتوانند نام کاربری و رمزهای عبور PLCها را به دست آورند.
این ماژولها امکان ارسال فرمانهای مختلف از طریق پروتکل مدباس را نیز فراهم میکند و این ویژگی میتواند برای PLCهای غیر از برند اشنایدر نیز کارا باشد که واحدهای متولی امنیت صنایع کشور لازم است در این مورد تدابیری را اتخاذ نمایند.
در جدول ذیل مشخصات فنی تاکتیکها و تکنیکهای این ابزار در مورد برند اشنایدر را بر اساس چارچوب ATT&CK for ICS مشاهده میکنیم.
ابزار موردنظر برای تجهیزات شرکت OMRON دارای ماژولیهایی است با امکانات ذیل:
این ماژولها به مهاجمین این قابلیت را میدهد که از طریق پروتکل FINS اقدام به شناسایی تجهیزات OMRON نمایند.
در شناسایی به کمک این ابزارها امکان دریافت و شناسایی آدرس MAC تجهیزات صنعتی وجود دارد.
این ماژولها به مهاجمین این قابلیت را میدهد که اطلاعات پروتکل HTTP را که سوی تجهیزات صنعتی دریافت میشود را تجزیهوتحلیل نمایند.
این ماژولها به مهاجمین این قابلیت را میدهد که به کمک روش سرشماری[2] به تجهیزات متصل به PLC دسترسی پیدا کنند و همچنین بتوانند از تجهیزات متصل به PLC ، نمونه/داده برداری انجام دهند.
این ماژولها به مهاجمین این قابلیت را میدهد که هر نوع فایل دلخواهی را بر روی PLCها بازیابی یا از PLCها پشتیبانگیری نمایند.
درنهایت، این ماژولها به مهاجمین این قابلیت را میدهد که بر روی این PLCها یک کد مخرب سفارشی را برای اهداف حملات دیگر و برای روز مبادا بارگذاری نمایند که امان در مورد این ویژگیهای به جد هشدار میدهد. این ماژولها امکان غالب تعاملاتی که در بردار حملات، توسط مهاجمین در چارچوب ATT&CK for ICS ارائهشده است را فراهم میکند. تمامی این تکتیکها و تاکتیکها در دورههای آموزشی پیشگامان امنرم آرمان تبیین میشود. در جدول ذیل این تکنیکها و تاکتیکها مشخصشدهاند.
ابزار موردنظر برای تجهیزاتی که پروتکل OPC UAرا پشتیبانی میکنند یا از آن استفاده میکنند دارای ماژولیهایی است با امکانات ذیل:
این ماژولها به مهاجمین این قابلیت را میدهد که سرورهای OPC UA را شناسایی نمایند.
این ماژولها به مهاجمین این قابلیت را میدهد که سرورهای OPC UA را به کمک نامهای کاربری و رمز عبور پیشفرض یا سرقت شده مورد دسترسی قرار دهند.
علاوه بر موارد فوق این ماژولها امکان نوشتن تگها توسط OPC UA را فراهم میکند که به جد قابلیتی با سطح ریسک بالا است و شرکت امان در مورد سوءاستفادههای آتی احتمالی در صنایع کشور (در صورت عدم ارتقاء) هشدار میدهد. لازم به ذکر است که در چند سال اخیر، در مورد قابلیتهای OPC UA و ویژگیهای امنیتی آن در دورههای آموزشی مطالب متعددی را خدمت مخاطبین گرامی امان ارائه کردهایم. باوجوداین قابلیتها، مشابه هر پروتکل دیگری لازم است مقوله بهروزرسانی تجهیزات مرتبط را در دستور کار قرار دهیم.
در جدول ذیل این تکنیکها و تاکتیکها مشخصشدهاند.
بر اساس اطلاعات در دسترسی فعلی امان تاکنون در کشور آلودگی مرتبط با این ابزارهای APT گزارش نشده است. در ادامه برخی راهکارهای کاهش ریسک و مقابله با ابزارهای فوق همراه با تجربیات امان در این حوزه ارائه میشود. لازم به ذکر است که این راهکارها برای تمامی محیطهای صنعتی آزموده نشده است و حتماً توصیه میشود که قبل از پیادهسازی در شبکه صنعتی در شرایط آزمایشگاهی یا محدود مورد آزمایش قرار گیرند.
توصیه معمول در این موارد این است که شبکههای صنعتی (OT) چنانچه ارتباطی با شبکه اداری، فاوا، اینترنت و نظایر آن دارند در سریعترین زمان این ارتباطات قطع یا محدود شود. لازم به ذکر است در بسیاری از صنایع مشاهده میکنیم که تصور به ایزوله بودن کامل شبکه صنعتی وجود دارد اما ارزیابیهای متعدد شاهد آن بودیم که اتصالاتی میان شبکه OT با شبکه IT وجود دارد.
چنانچه در صنعت خود از ضدبدافزار[3]یا سیستم تشخیص نفوذ (IDS) استفاده میکنید (در صورت بهروزرسانی شرکت ارائهدهنده) هرچه سریعتر محصول امنیتی خود را بهروزرسانی نمایید.
· استفاده از تجهیزات جمعآوری لاگهای امنیتی نظیر IDSها و SIEM توصیه میشود. به مدیران شبکههای کنترل صنعتی توصیه میشود که به کمک محصولاتی مانند SIEM کنترل صنعتی و سیستم تشخیص نفوذ صنعتی (IDS) به شکل مستمر کلیه تجهیزات سیستم و ترافیک عبوری را پایش نمایید.
چنانچه در شبکه صنعتی یا تجهیزات مربوطه امکان تصدیق هویت چند عامله یا چندمرحلهای دارید حتماً آن را فعال نمایید.
جهت مطالعه سایر راهکارهای امنیتی و دسترسی به گزارش کامل این ویژه نامه روی این لینک کلیک نمایید.
چنانچه تمایل دارید گزارش حملات، آسیبپذیریها و ویژهنامههایی مشابه این گزارش را دریافت نمایید، اطلاعات تماس بهویژه آدرس ایمیل به همراه معرفی سازمان/صنعت خود را به نشانی info@AmanSec.ir ارسال نمایید تا به شکل رایگان این گزارشها را دریافت نمایید.
همزمان با برگزاری جشنواره پژوهش و فناوری وزارت نيرو از سه پروژه منتخب توسط وزیرنیرو تقدیر شد. طراحی و اجرای پایلوت زیرسیستمهای مبتنی بر ICT صنعتی نیروگاه و ارزیابی امنیتی آنها به کارفرمایی شرکت برق حرارتی و مجریگری پژوهشگاه نیرو با مدیریت مهندس یحیی سلیمی خلیق یکی از این سه پروژه برگزیده بود که مورد تقدیر وزیر محترم قرار گرفت. لازم به ذکر است که بخش امنیت این پروژه با همکاری دو تن از پرسنل امان و زیر نظر جناب آقای مهندس سلیمی اجرا گردید.
حوزه های مختلف صنعت برق در دنیا در حال گسترش اتصال سامانه های کنترل صنعتی خود به شبکه های بالا دستی هستند. یکی از این حوزه ها، حوزه تولید برق می باشد. تسهیل مدیریت و نگهداری سامانه و امکان برونسپاری توزیع شده وظایف از جمله مواردی است که موجب اتصال روزافزون سیستم های OT به شبکه های جدید میشود. اتصال این سیستم های قدیمی فاقد مکانیزمهای امنیتی به شبکه های دیگر موجب دسترسی به این سیستم ها و افزایش احتمال نفوذ به آنها میشود. وجود مخاطرات جدی دررابطهبا زیرساخت برق و آسیب پذیری کشورها نسبت به تهدیدات این حوزه بسیاری از کشورهارا وادار به طراحی و ایجاد آزمایشگاه های امنیت سایبری صنعتی کرده است. بهعنوانمثال یکی از این اقدامات ارزنده و موفق، پروژه طراحی و اجرای پایلوت زیرسیستمهای مبتنی بر ICT صنعتی نیروگاه و ارزیابی امنیتی است. انتخاب این پروژه به عنوان یکی از سه پروژه برتر سال نشان از کیفیت بالای اجرای آن دارد و می تواند به سهم خود در ارتقای امنیت صنایع کشور ایفای نقش نماید.
امید است با استفاده مؤثر و مطلوب از نتایج تحقیقات و بسترسازی لازم برای بهره برداری و تجاری سازی تحقیقات در کشور، زمینه های توسعه توان ساخت تولید و کسب و کارهای جدید در کشور فراهم گردد.
با امان در شبکه های اجتماعی همراه باشید تا از اخبار تخصصی و دستاوردهای جدید حوزه امنیت سیستمهای کنترل و اتوماسیون صنعتی آگاه شوید.
به گزارش واحد تخصصی آگاهی بخشی سایبر صنعتی شرکت پیشگامان امن آرمان(امان)، اخیرا شرکت زیمنس آسیبپذیریهای جدیدی را در محصولات WinCC و PCS 7 گزارش داده است. این آسیب پذیری نمره بالای 9.9 را دارد و میتواند از راه دور اکسپلویت شود. این آسیبپذیری بر روی محصولات SIMATIC SCADA HMI که در ادامه آورده شده است، تأثیر میگذارد:
SIMATIC PCS 7 v8.2 and earlier: All versions
SIMATIC PCS 7 v9.0: All versions
SIMATIC PCS 7 v9.1: All versions
SIMATIC WinCC v7.4 and earlier: All versions
SIMATIC WinCC v7.5: All versions prior to v7.5 SP2 Update 5
SIMATIC WinCC v15 and earlier: All versions
SIMATIC WinCC v16: All versions
SIMATIC WinCC v17: All versions
زیمنس بهروزرسانیهایی را برای چندین محصول آسیبدیده منتشر کرده و بهروزرسانی به آخرین نسخهها را توصیه میکند و همچنین در حال آماده سازی، به روز رسانیهای بیشتر است و اقدامات متقابل خاصی را برای محصولاتی که به روز رسانی نشده یا هنوز در دسترس نیستند توصیه میکند. زیمنس راهحلها و راهکارهای کاهشدهنده خاصی را که کاربران میتوانند برای کاهش مخاطره اعمال کنند، شناسایی کرده است که برای اطلاعات بیشتر و تخصصی روی این لینک کلیک نمایید. ما در امان همراه شما هستیم تا بتوانیم با کمترین تبعات منفی بهروزرسانی امن سیستمهای کنترل و اتوماسیون صنعتی را انجام دهیم.
با امان همراه باشید تا از اخبار تخصصی بهروز حوزه امنیت سیستمهای کنترل و اتوماسیون صنعتی آگاه باشید.
رسالت امان در آگاهیبخشی این است که بتوانیم از این گونه مخاطرات در صنایع کشور پیشگیری نماییم.