هکرها در حال هک دستگاههای ICS و SCADA هستند

اخیرا سازمانهای NSA ، DOE، CISA،FBI در خصوص هک و دسترسی به سیستم های کنترل صنعتی (ICS) و سیستم کنترل نظارت و جمع‌آوری داده (SCADA) از جمله :

• Schneider Electric programmable logic controllers (PLCs)
• OMRON Sysmac NEX PLCs
• Open Platform Communications Unified Architecture (OPC UA) servers

توسط بازیگران تهدید هشدار (CSA ) داده اند.

بازیگران تهدید ، ابزارهای خاصی رو برای هدف قرار دادن دستگاههای ICS/SCADA توسعه داده اند.این ابزارها اونارا قادر می‌سازه تا دستگاه‌های آسیب پذیر رو پس از دسترسی اولیه به شبکه فناوری عملیاتی (OT) اسکن کنند، به خطر بیاندازند و کنترل کنند.

علاوه بر این، بازیگران می‌توانند ایستگاه‌های کاری مهندسی مبتنی بر ویندوز را که ممکن است در محیط‌های فناوری اطلاعات (IT) یا OT وجود داشته باشند، با استفاده از اکسپلویتهایی که برای درایور مادربرد ASRock موجود است، به خطر بیاندازند.

با به خطر انداختن و حفظ دسترسی کامل سیستم به دستگاه‌های ICS/SCADA، بازیگران APT می‌توانند سطح دسترسیشون بالا ببرند، به صورت جانبی در یک محیط OT حرکت کنند و دستگاه‌ها یا عملکردهای حیاتی را مختل کنند.

سازمانهای DOE، CISA، NSA و FBI از سازمان‌های زیرساختی حیاتی، به‌ویژه سازمان‌های بخش انرژی می‌خواهند تا توصیه‌های تشخیص و کاهش ارائه‌شده در این CSA را برای شناسایی فعالیت‌های مخرب APT و امن تر کردن دستگاه‌های ICS/SCADA خود اجرا کنند.

جزئیات تکنیکی :

• بازیگران APT ابزارهای سفارشی رو توسعه دادن که پس از ایجاد دسترسی اولیه در شبکه OT، اونارو قادر می‌سازه تا دستگاه‌های ICS/SCADA خاصی را اسکن، به خطر بیاندازند و کنترل کنند، از جمله موارد زیر: (ممکنه محدود به اینا نباشه)
• Schneider Electric MODICON and MODICON Nano PLCs, including TM251, TM241, M258, M238, LMC058, and LMC078;
• OMRON Sysmac NJ and NX PLCs, including NEX NX1P2, NX-SL3300, NX-ECC203, NJ501-1300, S8VK, and R88D-1SN10F-ECT;
• OPC Unified Architecture (OPC UA) servers.

ابزارهای بازیگران APT دارای معماری ماژولار هست و اونارو قادر می‌سازه تا اکسپلویت‌های بسیار خودکار را علیه دستگاه‌های هدفمند انجام دهند.

این ابزارها دارای یک کنسول مجازی با یک رابط فرمان شبیه به رابط دستگاه ICS/SCADA مورد نظر می باشد.

بازیگران APT می‌تونند از ماژول‌ها برای اسکن دستگاه‌های هدف، شناسایی جزئیات دستگاه، آپلود پیکربندی/کد مخرب در دستگاه مورد نظر، پشتیبان‌گیری یا بازیابی محتویات دستگاه، و دستکاری پارامترهای دستگاه استفاده کنند.

علاوه بر این، بازیگران APT می تونند از ابزاری استفاده کنند که یک درایور مادربرد آسیب پذیر شناخته شده با امضای ASRock بنام، AsrDrv103.sys را نصب و از آسیب پذیری با شناسه CVE-2020-15368 موجود در آن برای اجرای کدهای مخرب در سطح هسته ویندوز استفاده کنند. استقرار موفقیت آمیز این ابزار می تونه به بازیگران APT اجازه بده تا به صورت جانبی در یک محیط IT یا OT حرکت کنند و دستگاه ها یا عملکردهای حیاتی را مختل کنند.

ابزار APT برای دستگاه های Schneider Electric

ابزار بازیگران APT برای این دستگاه‌ها دارای ماژول‌هایی است که از طریق پروتکل‌های مدیریت عادی و Modbus (TCP 502) در تعامل هستند. ماژول ها ممکن است به بازیگران سایبری اجازه دهند:

• انجام یک اسکن سریع برای شناسایی این دستگاهها روی شبکه محلی از طریق بررسی ارسال multicast روی UDP با پورت مقصد 27127 (توجه: UDP 27127 یک اسکن استاندارد است که توسط ایستگاه های کاری مهندسی برای کشف PLC ها استفاده می شود و ممکن است نشان دهنده فعالیت های مخرب نباشد)
• بروت فورس کردن پسورد این دستگاهها که از CODESYS و یا سایر پروتکل‌های دستگاه های موجود استفاده میکنند از طریق پورت 1740 UDP برای پسوردهای پیش فرض یا لیستی از کلمات .(توجه: این قابلیت ممکن است برای سایر دستگاه های مبتنی بر CODESYS بسته به طراحی و عملکردشان کار کنه).
• برای جلوگیری از رسیدن ارتباطات شبکه به PLC، یک حمله انکار سرویس انجام بدن.
• قطع کردن اتصالات، که کاربران را ملزم به احراز هویت مجدد به PLC می کند، که احتمالاً برای بدست آوردن اعتبارنامه اوناست.
• انجام یک حمله "packet of death" برای از کار انداختن PLC تا زمانی که یک قطع و وصل جریان برق و بازیابی پیکربندی انجام بشه.
• ارسال دستورات Modbus سفارشی (توجه: این قابلیت ممکنه برای Modbus های غیر از PLC های Schneider Electric هم کار کنه).

ابزار APT برای OMRON

ابزار بازیگران APT برای دستگاه‌های OMRON دارای ماژول‌هایی است که به آنها امکان :

• اسکن OMRON با استفاده از پروتکلFINS (Factory Interface Network Service) میده.
• تجزیه و تحلیل پاسخ دریافتی از پروتکل HTTP دستگاه های OMRON.
• بازیابی آدرس مک دستگاه
• نمونه برداری از دستگاههای خاص متصل به PLC
• پشتیبان گیری/بازیابی فایل های دلخواه در/از PLC.
• لوود یک عامل مخرب سفارشی در PLC های OMRON برای افزایش قابلیت ها برای مهاجمین.

علاوه بر این، ماژول‌های OMRON می‌تونه عاملی رو آپلود کنه که به یک بازیگر سایبری اجازه میده تا فرمان‌هایی مانند دستکاری فایل، ضبط بسته‌ها و اجرای کد را از طریق HTTP / HTTPS دریافت و اجرا کنه.

ابزار APT برای OPC UA

ابزار بازیگران APT برای OPC UA دارای ماژول هایی با قابلیت های اساسی برای شناسایی سرورهای OPC UA و اتصال به سرور OPC UA با استفاده از اعتبارنامه های پیش فرض یا در معرض خطر قبلی است. کلاینت می تواند ساختار OPC UA را از سرور بخواند و مقادیر تگ های موجود از طریق OPC UA را بنویسد.

اقدامات کاهشی

توجه: این اقدامات کاهشی به منظور فعال کردن افراد مرتبط با امنیت سازمانها برای شروع تلاش‌ها برای محافظت از سیستم‌ها و دستگاه‌ها در برابر قابلیت‌های جدید ارائه شده‌اند. آنها در برابر هر محیطی تأیید نشده اند و باید قبل از اجرا آزمایش شوند.

سازمانهای DOE، CISA، NSA و FBI به همه سازمان‌های دارای دستگاه‌های ICS/SCADA توصیه می‌کنند اقدامات پیشگیرانه زیر را اجرا کنند:

• سیستم‌ها و شبکه‌های ICS/SCADA را با استفاده از کنترل‌های محیطی مناسب از شبکه‌های شرکتی و اینترنتی ایزوله کنید و هرگونه ارتباط ورودی یا خروجی از محیط‌های ICS/SCADA را محدود کنید.
• در صورت امکان، احراز هویت چند عاملی را برای همه دسترسی های راه دور به شبکه ها و دستگاه های ICS اعمال کنید.
• یک طرح واکنش به حوادث سایبری داشته باشید و آن را به طور منظم با ذینفعان فناوری اطلاعات، امنیت سایبری و عملیات ، اجرا کنید.
• همه گذرواژه‌های دستگاه‌ها و سیستم‌های ICS/SCADA در یک برنامه زمانی ثابت، به‌ویژه همه رمزهای عبور پیش‌فرض، را به گذرواژه‌های قوی منحصر به فرد تغییر دهید تا حملات brute force رو کاهش دهید و به سیستم‌های نظارتی فرصتی برای شناسایی حملات رایج بدهید.
• پشتیبان‌گیری آفلاین خوب برای بازیابی سریع‌تر در صورت حمله مخرب رو داشته باشید، و با هش کردن و بررسی یکپارچگی فایل‌های پیکربندی میان‌افزار و کنترل‌کننده ها از اعتبار اونها مطمئن بشید.
• اتصالات شبکه سیستم های ICS/SCADA را فقط به ایستگاه های کاری مهندسی و مدیریتی مجاز محدود کنید.
• با پیکربندی Device Guard، Credential Guard و Hypervisor Code Integrity (HVCI) از سیستم های مدیریتی محافظت کنید. از EDR ها روی این زیرشبکه‌ها استفاده کنید و مطمئن شویدکه تنظیمات آنتی ویروس دارای پیکربندی خوبی باشه.
• پیاده سازی خوبی برای جمع آوری و نگهداری لاگهای سیستم های ICS/SCADA و زیرشبکه های مدیریتی داشته باشید.
• از یک راه حل نظارت مستمر OT برای هشدار در مورد نشانگرها و رفتارهای مخرب استفاده کنید، سیستم های داخلی و ارتباطات را برای اقدامات مخرب شناخته شده و حرکت جانبی رصد کنید. برای دید بهتر شبکه برای شناسایی بالقوه ترافیک غیرعادی، از تجزیه‌کننده‌های پروتکل شبکه سیستم‌های کنترل صنعتی منبع باز CISA (ICSNPP) استفاده کنید.
• اطمینان حاصل کنید که همه برنامه ها فقط در صورت لزوم برای کار نصب شده اند.
• اجرای اصل کمترین امتیاز . تنها زمانی از حساب‌های مدیریت استفاده کنید که برای کارهایی مانند نصب به‌روزرسانی‌های نرم‌افزار ، مورد نیاز است.
• علائم انکار سرویس یا قطع اتصال که منجر به تاخیر در پردازش ارتباطات میشه ، از دست دادن عملکردی که نیاز به راه‌اندازی مجدد داره، و اقدامات تاخیری در نظارت اپراتور به‌عنوان نشانه‌هایی از فعالیت مخرب هستش، رو بررسی کنید
• سیستم های نظارت بر لوود درایورهای غیرعادی، به ویژه برای درایور ASRock اگه به هیچ وجه از این درایور در سیستم استفاده نمیکنید، داشته باشید.

منبع

عضویت در کانال تلگرامی ما

دانلود شماره اول نشریه تخصصی امنیت سایبری onhexmag : تلگرام | گیت هاب

مشاهده اپیزود 98 از Darknet Diaries با زیرنویس فارسی با موضوع واسطهای زیرودی (Zero Day Brokers) آپارات | یوتیوب | تلگرام

حمایت مالی با خرید یک قهوه