حمله سایبری به صنایع فولاد چگونه انجام شد؟

06:48۰

علیرضا منافی

صبح روز دوشنبه ۶ تیر ۱۴۰۱ سیستم‌های صنایع فولاد ایران مورد حمله سایبری قرار گرفت و فعالیت آنها مختل شد. در ابتدا مدیرعامل فولاد خوزستان این حمله را «یک توطئه ناکام» خواند و ادعا کرد که هیچ آسیبی به خط تولید وارد نشده و همه بخش‌ها فعال است. اما ساعاتی بعد مرکز ملی فضای مجازی ایران این حمله را تایید و اعلام کرد که بخش‌هایی از فولاد هرمزگان و خوزستان مختل شده است.

در اواخر دهه ۸۰ فعالیت‌های غنی سازی ایران با استفاده از ویروس «استاکس‌نت» مختل شد و مسئولان را به این فکر واداشت که سیستم‌هایی داخلی و ایزوله ایجاد کنند. اما در یکی دو سال اخیر با حملات متعدد به سامانه ها و زیرساخت‌های دولتی میزان کارایی سیستم‌های داخلی جداسازی شده از اینترنت زیر سوال رفته است.

حمله سایبری به تاسیسات کنترل صنعتی (ICS)موضوعی پیچیده است و معمولا با برنامه ریزی‌های چند ماهه یا چند ساله انجام می‌شود. به همین دلیل بررسی حمله به صنایع فولاد ایران موضوعی حائز اهمیت است و شاید با توجه به اجرای موفق و ایجاد انفجار در تاسیسات بتوان آن را بزرگترین حمله سایبری به زیرساخت‌های ایران بعد از ماجرای استاکس‌نت دانست.

حمله به صنایع فولاد با چه ابزارهایی انجام شد؟

تجزیه و تحلیل‌های اولیه نشان می‌دهد که بدافزارهای مورد استفاده در این حمله، مرتبط با بدافزارهایی است که سال گذشته در حمله به سامانه راه آهن ایران استفاده شده است. در حمله به سامانه راه آهن از زیرگونه‌ای از بدافزارهای پاک کننده (wiper) که با عنوان «Meteor» شناخته می‌شود استفاده شد.

بررسی‌های موسسه امنیتی «چک پوینت» نشان از آن دارد که بدافزارهای استفاده شده در حمله به سامانه راه آهن و حمله به صنایع فولاد منشا یکسان دارند و از یک پایگاه کد مشترک بهره برده‌اند. تفاوت این دو نوع بدافزار در آن است که نسخه استفاده شده در حمله به صنایع فولاد (Chaplin) بر خلاف نسخه بدافزار حمله به راه آهن (Meteor) قابلیت پاک کننده نداشته است.

بدافزار «چاپلین» حاوی اطلاعات «RTTI» بوده است که محققان از طریق آن توانسته‌اند اطلاعات بیشتری راجع به نوع حمله کسب کنند. RTTI، تعیین کننده هویت نوع اجراست که به محققان امکان می دهد نوع دقیق یک رویداد را پیدا کنند. با استفاده از روش ذکر شده محققان دریافته‌اند که بد افزار چاپلین با جدا کردن آداپتورهای شبکه، خارج کردن کاربر و اجرای یک رشته کد از قبل آماده شده فعالیت خود را آغاز کرده است.

این رشته کد مانع تعامل مسئولان امنیتی سامانه با رایانه شده است و دسترسی آن‌ها به رایانه‌ها و شبکه مسدود کرده است. این بدافزار در ادامه با حذف کردن کلید رجیستری «Lsa» مانع «بوت شدن» سیستم شده تا بتواند عملیات خود را ادامه دهد. به این ترتیب مهاجمان موفق شدند تا در سه مرحله بدافزار را اجرا و دسترسی کارکنان شرکت به شبکه را مسدود کنند.

طبق تحقیقات موسسه چک پوینت، احتمالا گروه هکری «گنجشک درنده» که مسئولیت حمله به صنایع فولاد را پذیرفته، از ابزارهای توسعه داده شده توسط گروه «ایندرا» بهره برده است. گروه ایندرا برای اولین بار در سال ۲۰۱۹ ظاهر شد و تا به حال مسئولیت مجموعه‌ای از حملات علیه شرکت‌های مرتبط با جمهوری اسلامی ایران و حزب‌الله لبنان را برعهده گرفته است.

نفوذ اولیه به سیستم‌های صنایع فولاد از چه طریقی بوده است؟

با توجه به تصویری که هکرها از سامانه کنترل کننده فولاد خوزستان منتشرکرده‌اند، برخی از کارشناسان اعتقاد دارند که دسترسی اولیه هکرها به سیستم‌های فولاد خوزستان از طریق نقص‌های امنیتی موجود در نرم افزار «ایریسا» انجام شده است. شرکت ایریسا در زمینه ارائه خدمات اتوماسیون صنعتی و سیستم‌های اطلاعاتی فعالیت می‌کند.

این شرکت که ادعا دارد با هدف «جلوگیری از خروج ارز با گسترش دانش کسب شده» فعالیت می‌کند، از ابزارهایی استفاده می‌کند که برخی از آنها از سال ۲۰۱۷ به روز رسانی نشده‌اند. با مراجعه به وب‌سایت این شرکت می‌توان دریافت که علاوه بر کل صنایع فولاد ایران؛ پتروشیمی شیراز، شرکت توزیع برق اصفهان، شرکت مخابرات ایران و برخی نهادهای دیگر از خدمات این شرکت استفاده می‌کنند که با توجه به نقص‌های امنیتی و استفاده این شرکت از ابزارهای منسوخ شده، می‌توان انتظار داشت دیگر مشتریان ذکر شده ایریسا اهداف بعدی هکرها باشند.

حتی جستجوها بیانگر آن است که این شرکت از ابزارهای اصل استفاده نمی‌کند و از نسخه‌های «کرک شده» بهره می‌برد. پایگاه «سرتفا» که در زمینه امنیت سایبری و حریم خصوصی فعالیت می‌کند، در مورد نرم افزار کنترل کننده صنعتی VMware Horizon که این شرکت استفاده می‌کند، عنوان کرده است که « به احتمال بسیار زیاد شرکت ایریسا از نسخه کرک شده ۱۷.۳.۳۳.۲۷۵۳ که در وب‌سایت‌های ایرانی منتشر می‌شه، استفاده می‌کرده.»

در حالی که هر سال به چندین نهاد مختلف از جمله ستاد کل نیروهای مسلح، ناجا و وزارت ارتباطات برای مقابله با تهدیدهای سایبری بودجه اختصاص داده می‌شود، آمار حمله به زیرساخت‌های دولتی به طور چشمگیری افزایش یافته است.

حکومت ایران بر روی راه اندازی سیستم‌های داخلی و جداسازی آنها از اینترنت به منظور مقابله با حملات سایبری تمرکز دارد، غافل از آنکه استفاده از ابزارهای کارآمد، به‌روز و امن و بهره بردن از نیروهای متخصص درجه اهمیت بالاتری دارد. برای نمونه در جریان هک شهرداری تهران، هکرها فهرستی از مشخصات سرورهای شهرداری را منتشر کردند که با بررسی مشخصات فنی سرورهای شهرداری تهران مشخص شد تعداد زیادی از سیستم‌ها برای مدت طولانی به‌روز‌رسانی نشده بودند. در میان سرورهای شهرداری تهران، تعداد زیادی سرور VMware ۵.۵ به چشم می‌خورد که از سال ۲۰۱۸ پشتیبانی از آن سرویس متوقف شده‌ است، یا در نمونه‌ای دیگر در هک شهرداری حتی از وب‌سایت شهرداری نسخه پشتیبان تهیه نشده بود و برای راه اندازی مجدد وب‌سایت شهرداری از نسخه‌های بایگانی شده وب‌سایت «archive» کمک گرفته شد.

منتشر شده در ایندیپندنت فارسی


بدون دیدگاه

پاسخ دهید

فیلدهای مورد نیاز با * علامت گذاری شده اند