بدافزار مرموز ICS علیه سامانه‌های SCADA

بدافزاری با نام «IRONGATE» توسط FireEye و هنگام بررسی تزریق کننده نوشته شده با PyInstaller کشف شد. دو نمونه بار داده‎ی بدافزاری برای VirusTotal در سال ۲۰۱۴ بارگذاری شده ‌بود اما هیچ کدام از آن‌ها مخرب شناخته نشدند.
بدافزار IRONGATE برای دستکاری یک فرآیند صنعتی خاص در محیط سامانه کنترل زیمنس شبیه‎سازی شده، طراحی شده است. زیمنس این تهدید را بررسی کرد و متوجه شد که این حمله علیه سامانه‌های کنترل عمل نخواهد کرد و بدافزار از هیچ گونه آسیب‌پذیری در محصولات این شرکت سوءاستفاده نخواهد کرد.
از آنجایی که FireEye هیچ عامل تهدیدآمیز یا حمله‌ای که از بدافزار IRONGATE استفاده کند را شناسایی نکرده است، معتقد است که این بدافزار می‌تواند یک اثبات مفهوم (PoC)، یک مورد آزمایشی، یا بخشی از تحقیقی باشد که روی روش‌های حمله‌ای ICS تمرکز کرده است.

حمله با تزریق کننده‌ای شروع می‌شود که بررسی می‌کند آیا ماشین مجازی VMware و جعبه شنی Cuckoo روی سامانه وجود دارد یا خیر. اگر چنین محیط‌های تجزیه‌ای و بررسی‎کننده شناسایی نشد، بار داده‎ای که یک .Net قابل اجرا به نام scada.exe است روی سامانه اجرا می‌شود.
هنگامی که این بار داده به سامانه تزریق شد، IRONGATE به دنبال پرونده‎های DLL‌ای می‌گردد که نام آن‌ها به “Step۷ProSim.dll” ختم می‌شود و آن‌ها را با نسخه مخرب جایگزین می‌کند به‎طوری‎که می‌تواند فرآیند را بدون اینکه شناسایی شود، دستکاری کند.

مؤسسه FireEye در وب‌گاهش توضیح داد که: «ویژگی کلیدی IRONGATE این است که می‌تواند حمله مرد میانی (MitM) علیه ورودی-خروجی فرآیند (IO) و نرم‌افزار اپراتور فرایند درون محیط شبیه‎سازی فرایند صنعتی صورت دهد. این بدافزار یک کتابخانه رابط پویا (DLL) را با یک DLL مخرب جایگزین می‌کند که به عنوان یک رابط بین یک PLC و نرم‎افزار نظارت‎کننده قانونی عمل می‌کند. این DLL مخرب پنج ثانیه از ترافیک معمولی یک PLC را برای رابط کاربری و بازپخش آن ثبت می‌کند، در حالی که اطلاعات مختلفی را به PLC پس می‌فرستد. این فرایند به مهاجم اجازه می‌دهد به طور مخفیانه فرایند کنترل شده‌ را به اپراتورهای فرایند تغییر دهد».

بدافزار به این دلیل پرونده DLL را جایگزین می‌کند که با محیط PLCSIM زیمنس ارتباط برقرار کند که برای بررسی عملکرد برنامه‌های PLC پیش از استفاده در محصول استفاده می‌شود. اگرچه زیمنس خاطر نشان کرد که DLL های مورد نظر واقعاً بخشی از محصولات استانداردش نمی‌باشند، یعنی اینکه حمله در دنیای واقعی انجام‎پذیر نمی‌باشد.
چندین نشانه وجود دارد که باعث می‌شود محققان FireEye به این نتیجه برسند که IRONGATE تنها یک PoC است. علاوه بر این حقیقت که این بدافزار در محیط واقعی سامانه کنترل زیمنس عمل نمی‌کند، متخصصان همچنین مشخص کردند که جزء scada.exe به‎طور خودکار قابل اجرا نمی‌باشد، یعنی لازم است کسی باشد که بار داده را به‎طور دستی راه‎اندازی کند.
علاوه بر این، کد نرم‎افزار مخرب بسیار شبیه به کدی است که سال‌ها پیش روی وب‌گاهی مهندسی منتشر شده بود.

به طور شگفت آوری، متخصصان متوجه شباهت‌هایی بین بدافزار IRONGATE و کرم معروف Stuxnet شدند که در سال ۲۰۱۰ برای حمله به تجهیزات هسته‌ای ایران مورد استفاده قرار گرفته بود. هر دوی آن‌ها تنها یک فرایند خاص را هدف قرار می‌دهند و هر دوی آن‌ها برای دستکاری آن فرآیند، DLL ها را جایگزین می‌کنند.
برخلاف Stuxnet که وجود ضدویروس روی سامانه آلوده را بررسی می‌کند، IRONGATE برای شناسایی ماشین‌های مجازی و جعبه‌های‎شنی طراحی شده است. تفاوت دیگر نیز این است که Stuxnet تلاش نمی‌کند که عملیات مخربش (دستکاری فرآیند) را پنهان کند درحالی‎که IRONGATE برای پنهان کردن فعالیت‌هایش، اطلاعات فرایند را ثبت و باز پخش می‌کند.
در حالی که IRONGATE ممکن است PoCی باشد که پیش از این هرگز در حملات استفاده نشده است، FireEye تصمیم دارد که یافته‌هایش را با بقیه نیز به اشتراک بگذارد تا مدافعان بتوانند راهی برای خنثی کردن چنین حملاتی پیدا کنند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.