آخرین اخبار
facebook Telegram RSS ارسال به دوستان نسخه چاپی
کد خبر : 54649
تاریخ انتشار : 11 تیر 1393 10:49
تعداد بازدید : 814

هشدار مرکز ماهر به حمله یک بدافزار به سامانه های كنترل صنعتی

بدافزاری كه پیش از این در حمله به شركت های بخش انرژی به كار رفته بود سازمان هایی را كه برنامه های كاربردی صنعتی و ماشین آلات را استفاده می كنند و یا توسعه می دهند هدف قرار داد.


ماهر - بررسی ها نشان می دهد كه در طی ماه های پیش، مهاجمان شروع به توزیع نسخه جدیدی از برنامه تروجان دسترسی از راه دوری به نام Havex، از طریق هك سایت های تولیدكنندگان سیستم های كنترل صنعتی (ICS) و نیز آلوده كردن افزارهای قانونی قابل دانلود در سایت ها، كردند.
همچنین طی تحقیقات، سه سایت فروشنده این نرم افزارها كه به این طریق آلوده شده اند، كشف شده است. نصب كننده های نرم افزار موجود در این سایت ها آلوده به تروجان دسترسی از راه دور Havex شده اند. به نظر می رسد، احتمالا موارد مشابه دیگری نیز موجود باشد كه تاكنون كشف نشده است.F-Secure نام این فروشنده های آلوده شده را بیان نكرد اما گفت: دو شركت توسعه دهنده نرم افزار مدیریت از راه دور ICS بودند و سومی تهیه كننده دوربین های صنعتی با دقت بالا و نرم افزارهای مرتبط با آن است.
بر این اساس مهاجمان، برنامه های installer قانونی را برای اضافه و اجرا كردن فایل های اضافی در كامپیوتر تغییر می دهند. فایل اضافه شده mbcheck.dll نام دارد و در حقیقت همان بدافزار Havex است.این روش توزیع جدید به علاوه برای حملات معمولی مانند ایمیل های اسپم و exploitهای مبتنی بر وب مورد استفاده قرار گرفته اند و نشان می دهد كسانی كه در پشت این عملیات هستند به طور خاص علاقه مند به هدف قرار دادن سازمان هایی كه از برنامه های كاربردی ICS و SCADA استفاده می كنند، شده اند.
به گفته محققان F-Secure، بدافزار Havex به استاندارد OPC برای جمع آوری اطلاعات در مورد دستگاه های كنترل صنعتی نفوذ می كند. بدافزار Havex نیز اطلاعات جمع آوری شده را به سرور C&C خود، جهت تحلیل توسط مهاجمان ارسال می كند. در نتیجه به نظر می رسد كه بدافزار Havex به عنوان یك ابزار برای جمع آوری اطلاعات استفاده می شود. تاكنون نیز هیچ گونه payload كه سعی در كنترل سخت افزارهای متصل شده داشته باشد، مشاهده نشده است.
محققان F-Secure اعلام کردند: اكثر قربانیان در اروپا هستند، هرچند در زمان نوشتن این گزارش حداقل یك شركت در كالیفرنیا مشاهده شده كه اطلاعات به سرورهای C&C ارسال كرده است. از سازمان های اروپایی نیز دو نهاد آموزشی بزرگ در زمینه پژوهش های مربوط به فناوری در فرانسه، دو تولیدكننده برنامه های كاربردی یا دستگاه های صنعتی در آلمان، یك تولیدكننده ماشین آلات صنعتی فرانسوی و یك شركت ساخت و ساز متخصص در مهندسی سازه در روسیه به عنوان قربانیان شناخته شده اند.در گزارشی كه دی ماه 92 منتشر شده بود، شركت اطلاعاتی امنیتی CrowdStrike، گزارشی را درباره Havex RAT كه حمله های هدفمند بر علیه سازمان های بخش انرژی در سپتامبر 2013(شهریور92) انجام داده بود، منتشر كرد و آن را مرتبط با گروهی از مهاجمان وابسته به دولت روسیه دانست.


نظر شما



نمایش غیر عمومی
تصویر امنیتی :