بدافزار جدید SCADA با پشتیبانی دولتی، شرکت‌های انرژی اروپا را هدف می‌گیرد!

محققان امنیتی یک مبارزه جدید را کشف کرده‌اند که با استفاده از یک بدافزار پیچیده شرکت‌های انرژی را در غرب اروپا هدف قرار می‌دهد. این بدافزار با طی مسیرهای طولانی به‌منظور غیرقابل‌شناسایی باقی ماندن شرکت‌های انرژی را هدف می‌گیرد.

محققان آزمایشگاهی SentinelOne Labs بدافزاری را شناسایی کرده‌اند که پیش‌ازاین حداقل یک شرکت انرژی اروپا را آلوده کرده است. این بدافزار آن‌چنان نهانی و پیشرفته عمل می‌کند که شاید تصور شود ساخته دست یک کشور ثروتمند است.

این بدافزار، که SFG خوانده می‌شود، حاوی حدوداً ۲۸۰ کیلوبایت رمز است و دارای منبعی عظیم از ابزارهاست که پیش‌ از این به‌ندرت در نمونه‌های معمول بدافزارها دیده ‌شده است. بدافزار پیش از آنکه بار داده خود را پایین بیاورد ارزیابی‌های زیادی را برای حمله زیرکانه و دزدانه به تعداد زیادی از سپرهای دفاعی امنیتی انجام می‌دهد.

این بدافزار برنامه‌های ضدویروسی را یک‌به‌یک از هم می‌پاشد تا زمانی که نهایتاً با حذف تمام آن‌ها، ایمن باشد. همچنین ویژگی‌های مهم خود را رمزنگاری می‌کند تا قابل‌کشف و تجزیه‌وتحلیل نباشد. زمانی که احساس کند در یک محیط جعبه شنی کار می‌کند خود را اجرا نخواهد کرد.

این بدافزار مبتنی بر ویندوز حتی از ویژگی‌هایی نظیر تشخیص چهره، پویشگرهای اثرانگشت و دیگر سامانه‌های پیشرفته کنترل دسترسی زیستی که درون سازمان‌های هدف اجرا می‌شوند مراقبت ویژه‌ای به عمل می‌آورد.

برای کسب دسترسی اجرایی به رایانه آلوده، نمونه بدافزار از یک جفت بهره‌بردار ارتقا امتیاز برای نقص‌های ویندوز (CVE-۲۰۱۴-۴۱۱۳ و CVE-۲۰۱۵-۱۷۰۱) استفاده می‌کند که به ترتیب در ماه‌های اکتبر و می ۲۰۱۵ توسط شرکت مایکروسافت وصله شدند.

مأمور امنیتی ارشد SentinelOne، اودی شمیر، می‌گوید: «این بدافزار به‌واسطه سطح بسیار بالای پیچیدگی و هزینه توأم با تولید نرم‌افزاری با این ماهیت پیشرفته دارای نشانه‌هایی از یک حمله در سطح ملی است.

زمانی که بدافزار کنترل اجرایی یک رایانه را در دست گیرد، شبکه متصل را بررسی می‌کند، اطلاعاتی را در مورد شبکه آلوده به متصدیان خود گزارش می‌کند، منتظر دستورالعمل‌های بیشتر می‌ماند و یک مسیر پنهانی را در سامانه‌های کنترل صنعتی هدف برای مهاجمان به شبکه فراهم می‌کند.

محققان امنیتی هشدار می‌دهند: «سپس از مسیر پنهانی می‌توان برای نصب بدافزار دیگری روی سامانه‌ها به‌منظور کسب اطلاعات یا استخراج داده‌ها یا از کار انداختن بالقوه شبکه انرژی استفاده کرد.»

بدافزار SFG وابسته به یک نمونه بدافزار قبلی موسوم به Furtim قطعه دیگری از بدافزاری فوق‌العاده پیچیده که در ماه می کشف شد، است که همچنین قادر است به برنامه‌های ضدویروس و دیگر سپرهای دفاعی امنیتی حمله کند.

میزان زمان، تلاش و منابع لازم برای تولید بدافزار بدین معناست که این بدافزار کار تیمی از نفوذگرانی است که برای یک کشور ثروتمند کار می‌کنند، هرچند که محققان کشور پشت این حملات را شناسایی نکرده‌اند.

شمیر می‌گوید: «به نظر می‌آید که این بدافزار کار چندین تولیدکننده است که بیش از چندین راه‌حل ضدویروس را مهندسی معکوس کرده‌اند و مسافت زیادی را برای شناسایی حمله، ازجمله متوقف کردن کار نرم‌افزار [ضدویروس] بدون مطلع شدن کاربر پیموده‌اند.»

«حملاتی از این‌ دست مستلزم سرمایه‌گذاری قابل‌توجه و اطلاع از فوت‌و‌فن مقاومت باوجود دشواری‌ها و احتمالاً نتیجه یک حمله با پشتیبانی مالی دولتی، نه یک گروه متخلف سایبری، هستند.»

جزئیات فنی بیشتر در مورد بدافزار SFG را می‌توانید در گزارشی که روز سه‌شنبه توسط شرکت امنیتی SentinelOne منتشر شد پیدا کنید.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.