طور الفاعلون في مجال التهديد وحدات نمطية مخصصة لاختراق أجهزة ICS المختلفة بالإضافة إلى محطات عمل Windows التي تشكل تهديدًا وشيكًا ، لا سيما لمزودي الطاقة.
قامت الجهات الفاعلة في مجال التهديد ببناء أدوات يمكنها الاستحواذ على عدد من أجهزة أنظمة التحكم الصناعية المستخدمة على نطاق واسع (ICS) وهي جاهزة لنشرها ، مما يتسبب في مشاكل لمقدمي البنية التحتية الحيوية - لا سيما تلك الموجودة في قطاع الطاقة ، كما حذرت الوكالات الفيدرالية.
In استشاري مشتركووزارة الطاقة (DoE) ووكالة الأمن السيبراني وأمن البنية التحتية (CISA) ووكالة الأمن القومي (NSA) ومكتب التحقيقات الفيدرالي (FBI) يحذرون من أن "بعض الجهات الفاعلة في مجال التهديد المستمر المتقدم (APT)" قد أثبتت بالفعل القدرة على "تحقيق مكاسب كاملة وصول النظام إلى أنظمة التحكم الصناعية المتعددة (ICS) / أجهزة التحكم الإشرافي واكتساب البيانات (SCADA) "، وفقًا للتنبيه.
تسمح الأدوات المخصصة التي طورتها APTs لهم - بمجرد وصولهم إلى شبكة التكنولوجيا التشغيلية (OT) - للبحث عن الأجهزة المتأثرة والتغلب عليها والتحكم فيها ، وفقًا للوكالات. وقالوا إن هذا يمكن أن يؤدي إلى عدد من الإجراءات الشائنة ، بما في ذلك رفع الامتيازات ، والحركة الجانبية داخل بيئة OT ، وتعطيل الأجهزة أو الوظائف الهامة.
الأجهزة المعرضة للخطر هي: وحدات التحكم المنطقية القابلة للبرمجة (PLC) من شركة Schneider Electric MODICON و MODICON Nano ، بما في ذلك (على سبيل المثال لا الحصر) TM251 و TM241 و M258 و M238 و LMC058 و LMC078 ؛ أومرون سيسماك نيكس بي إل سي ؛ وخوادم Open Platform Communications Unified Architecture (OPC UA) ، حسبما ذكرت الوكالات.
يمكن لأجهزة APT أيضًا اختراق محطات العمل الهندسية المستندة إلى Windows والموجودة في بيئات تكنولوجيا المعلومات أو OT باستخدام ثغرة معروفة في ASRock اللوحة الأم قالا السائق.
يجب مراعاة التحذير
على الرغم من أن الوكالات الفيدرالية غالبًا ما تقدم إرشادات حول التهديدات السيبرانية ، حث أحد المتخصصين الأمنيين موفرو البنية التحتية الحيوية عدم الاستخفاف بهذا التحذير الخاص.
لاحظ Tim Erlin ، نائب رئيس الإستراتيجية في Tripwire ، في رسالة بريد إلكتروني إلى Threatpost: "لا تخطئ ، هذا تنبيه مهم من CISA". "يجب على المنظمات الصناعية الانتباه إلى هذا التهديد."
وأشار إلى أنه بينما يركز التنبيه نفسه على أدوات الوصول إلى أجهزة ICS محددة ، فإن الصورة الأكبر هي أن بيئة التحكم الصناعي بأكملها معرضة للخطر بمجرد أن يكتسب أحد الفاعلين موطئ قدم.
نصح إرلين: "يحتاج المهاجمون إلى نقطة تسوية أولية للوصول إلى أنظمة التحكم الصناعية المعنية ، ويجب على المنظمات بناء دفاعاتها وفقًا لذلك".
مجموعة الأدوات المعيارية
قدمت الوكالات تفصيلاً للأدوات المعيارية التي طورتها APTs والتي تسمح لها بإجراء "عمليات استغلال آلية للغاية ضد الأجهزة المستهدفة" ، على حد قولهم.
وصفوا الأدوات بأنها تحتوي على وحدة تحكم افتراضية بواجهة أوامر تعكس واجهة جهاز ICS / SCADA المستهدف. وحذرت الوكالات من أن الوحدات تتفاعل مع الأجهزة المستهدفة ، مما يمنح حتى الجهات الفاعلة في مجال التهديد الأقل مهارة القدرة على محاكاة القدرات التي تتطلب مهارات أعلى.
تشمل الإجراءات التي يمكن أن تتخذها أجهزة الإرسال والاستقبال المزود بنقطة وصول باستخدام الوحدات النمطية: المسح بحثًا عن الأجهزة المستهدفة ، وإجراء الاستطلاع على تفاصيل الجهاز ، وتحميل التكوين / التعليمات البرمجية الضارة إلى الجهاز المستهدف ، ونسخ محتويات الجهاز احتياطيًا أو استعادتها ، وتعديل معلمات الجهاز.
بالإضافة إلى ذلك ، يمكن لممثلي APT استخدام أداة تقوم بتثبيت واستغلال ثغرة أمنية في برنامج تشغيل اللوحة الأم ASRock AsrDrv103.sys الذي تم تتبعه باعتباره CVE-2020-15368. يسمح الخلل بتنفيذ التعليمات البرمجية الخبيثة في Windows kernel ، مما يسهل الحركة الجانبية لبيئة تكنولوجيا المعلومات أو OT بالإضافة إلى تعطيل الأجهزة أو الوظائف الهامة.
استهداف أجهزة معينة
الممثلون لديهم أيضًا وحدات محددة لمهاجمة الآخر أجهزة ICS. تتفاعل وحدة Schneider Electric مع الأجهزة عبر بروتوكولات الإدارة العادية و Modbus (TCP 502).
قد تسمح هذه الوحدة للجهات الفاعلة بتنفيذ إجراءات ضارة مختلفة ، بما في ذلك إجراء مسح سريع لتحديد جميع شبكات شنايدر PLC على الشبكة المحلية ؛ كلمات مرور PLC ذات التأثير الغاشم ؛ شن هجوم رفض الخدمة (DoS) لمنع PLC من استقبال اتصالات الشبكة ؛ أو تنفيذ هجوم "حزمة الموت" لتحطيم المجلس التشريعي ، من بين أمور أخرى ، وفقًا للاستشارة.
قالت الوكالات إن الوحدات الأخرى في أداة APT تستهدف أجهزة OMRON ويمكنها البحث عنها على الشبكة بالإضافة إلى أداء وظائف تسويقية أخرى.
بالإضافة إلى ذلك ، يمكن لوحدات OMRON النمطية تحميل وكيل يسمح لممثل التهديد بالاتصال وبدء الأوامر - مثل معالجة الملفات ، والتقاط الحزم وتنفيذ التعليمات البرمجية - عبر HTTP و / أو Hypertext Transfer Protocol Secure (HTTPS) ، وفقًا للتنبيه.
أخيرًا ، تتضمن الوحدة التي تسمح بتسوية أجهزة OPC UA الوظائف الأساسية لتحديد خوادم OPC UA والاتصال بخادم OPC UA باستخدام بيانات اعتماد افتراضية أو تم اختراقها مسبقًا ، كما حذرت الوكالات.
التخفيفات الموصى بها
عرضت الوكالات قائمة واسعة من التخفيفات لموفري البنية التحتية الحيوية لتجنب اختراق أنظمتهم بواسطة أدوات APT.
وأشار إروين من شركة Tripwire إلى أن "هذا ليس بسيطًا مثل تطبيق التصحيح". ومن القائمة ، أشار إلى عزل الأنظمة المصابة ؛ استخدام الكشف عن نقطة النهاية والتكوين ومراقبة السلامة ؛ وتحليل السجل كإجراءات رئيسية يجب على المنظمات اتخاذها على الفور لحماية أنظمتها.
أوصى الفدراليون أيضًا بأن يكون لدى موفري البنية التحتية الحيوية خطة استجابة للحوادث السيبرانية يعرفها جميع أصحاب المصلحة في تكنولوجيا المعلومات والأمن السيبراني والعمليات ويمكنهم تنفيذها بسرعة إذا لزم الأمر ، بالإضافة إلى الاحتفاظ بنسخ احتياطية صالحة دون اتصال بالإنترنت للتعافي بشكل أسرع عند حدوث هجوم معطّل ، من بين وسائل التخفيف الأخرى .
الانتقال إلى السحابة؟ اكتشف تهديدات الأمان السحابية الناشئة جنبًا إلى جنب مع النصائح القوية حول كيفية الدفاع عن أصولك مع كتاب إلكتروني مجاني قابل للتنزيل، "Cloud Security: The Forecast for 2022." نستكشف أهم المخاطر والتحديات التي تواجه المؤسسات ، وأفضل الممارسات للدفاع ، ونصائح للنجاح الأمني في بيئة الحوسبة الديناميكية هذه ، بما في ذلك قوائم المراجعة سهلة الاستخدام.
