TRITON بدافزاری جدید است که اخیرا توسط شرکت امنیتی FireEye شناسایی شده است و هدف آن سامانه های کنترل صنعتی است. عملیات مخرب این بدافزار اجرای حملات ممانعت از خدمات (DoS) از طریق از کار انداختن و دستکاری مکانیزم های ایمنی(Safety) در منطق نردبانی کنترل کننده است.
لینک مشاهده گزارش تصویری در اندازه بزرگتر
مطالب متنی به دلیل کپی برداری های غیر مجاز و عدم مرجع دهی به کانال یا وب نوشت بنده (توسط برخی کانال های تلگرامی) حذف شد.
خوب می دانیک که بدافزارهای زیادی از بستر تلگرام برای انتشار یا دریافت دستورات استفاده می کنند که نمونه آن بدافزار TelegramRAT است. اخیرا توسط یکی از دوستان عزیزم، آقا مصطفی م.، با کانال lovelyfork@ در تلگرام آشنا شدم. کانال lovelyfork، کانالی است که از 21 آبان سال نود و چهار فعالیت خود را تلگرام شروع کرده است و از آن تاریخ هر شب عکس یک چنگال تکراری را در کانالش قرار میدهد. نکته ی جالب در رابطه با این کانال تعداد اعضای آن است که هر روز در حال افزایش است!نکته دیگر اینکه دقیقا کانال مشابه ی با نام Same Photo of a Fork Everyday در فیسبوک نیز وجود دارد!
اگرچه به ظاهر عکس غالب چنگال های مشابه است اما به عنوان یک محقق امنیتی اندکی مشکوک شدم،احتمال میدهم این کانال می تواند Master یک بدافزار(معمولا بات نت) باشد که برای Command and Control از تکنیک هایی اختفا اطلاعات(پنهان نگاری) مثل استگانوگرافی درون عکس استفاده می کند و دستوراتش رو درون تصویر چنگال ها پنهان می کند؛فرصت لازم برای برسی اعتبار این فرضیه را نداشتم اما در بررسی اولیه روی برخی تصاویر چنگال ها متوجه تفاوت هایی شدم که طبیعتا برای چشم انسانی قابل تشخیص نیست و در تصویر ذیل نمونه ای از تفاوت اندازه و کد درهم سازی(MD5 hash) آنها را مشاهده می کنید:
در طول یک سال گذشته چند نفر از مخاطبان گرامی وبنوشت، لیست ژورنال های حوزه امنیت اطلاعات را تقاضا کرده بودند. ذیلا لیست برخی از ژورنال هایی که در حوزه های عمومی امنیت اطلاعات(ژورنال های معتبر و مطرح) اقدام به چاپ مقالات می کنند را قرار داده ام. چنانچه شما بزرگواران نیز ژورنال هایی را می شناسید که در این لیست نیست لطفا در همین پست اطلاع دهید تا به لیست اضافه شوند(باتشکر).
توجه: این لیست به مرور به روزرسانی می شود.
همانطور که در پست «هشدار به کارشناسان امنیت سامانه های کنترل صنعتی در مورد باجگیرافزارها » پیشبینی کرده بودم و هشدار داده بودیم باجگیرافزارهای سامانه های کنترل صنعتی رسما پا به عرصه گذاشتند. دو محقق از مؤسسه فناوری جورجیا، باجگیرافزاری آزمایشی ساختهاند که قادر است ضمن قطع دسترسی به دستگاه PLC تنظیمات آن را نیز تغییر دهد. این محققان این نمونه باجگیرافزار را روز دوشنبه 25 بهمن در کنفرانس RSA ارائه کردند.
در دنیای واقعی تجهیزات PLC دریچهها، موتورها، پمپها، حسگرها، آسانسورها، پلههای برقی، ورودیهای ولتاژ، زمانسنجها، سیستمهای تهویه و بسیاری از سیستمهای مکانیکی دیگر را کنترل میکنند.
تجهیزات PLC که در موقعیت های مختلف پراکندهاند خود نیز از طریق نرمافزارهای اسکادا که معمولاً بر روی یک کامپیوتر معمولی نصب شدهاند توسط راهبر یا بصورت خودکار کنترل و پیکربندی میشوند.
با در نظر گرفتن انگیزههای اقتصادی می توان به این نتیجه رسید که تنوع و پیچیدگی بدافزارها بهصورت قابلتوجهی افزایش پیداکرده است. برای مثال باجگیرافزار(باج افزار)های خطرناک که گونه ای نسبتاً جدید بدافزارها می باشند در اواخر سال 2012 میلادی بهشدت رشد کرده اند. از سویی دیگر به نظر میرسید که سال 2012 مهمترین سال برای باجگیرافزارها باشد اما این روند از این سال بعد کماکان ادامه پیداکرده است[1].
تعداد نمونه باجگیرافزارهای جدید از 2010 تا 2015 [2]
بدافزار KillDisk که قبلا به سامانه های کنترل صنعتی اوکراین خسارات بالایی را وارد کرده بود اخیرا دارای ماژول هایی جدیدی شده است که می تواند این بدافزار را تبدیل به باجگیرافزار(باج افزار) نماید. بنابراین اگرچه هنوز گزارشی رسمی از وقوع این نوع اخاذی بر روی سامانه های کنترل صنعتی اعلام نشده است اما کارشناسان امنیت سامانه های کنترل صنعتی آگاه باشند که باجگیرافزارها قلمرو خود را به سامانه های کنترل صنعتی نیز گسترش داده اند؛ البته این مسئله پیش بینی هم می شد؛ چرا که سامانه های کنترل صنعتی می توانند هدف مناسب برای طراحان باجگیرافزارها باشند زیرا که:
در این پست اسلایدهای دوره آموزشی (مقدماتی)امنیت سایبری در سامانه های صنعتی (بخش مقدمات بدافزارها و تهدیدات دایمی پیشرفته ) که برای برخی وزارت خانه ها و شرکت ها از جمله وزارت نفت و شرکت ملی گاز ارائه شده است را برای استفاده عموم قرار می دهم. امیدوارم که مفید باشد.
کلیپ کوتاه از دورههای آموزشی تئوری-عملی امنیت سایبری سیستمهای کنترل و اتوماسیون صنعتی (کلیک نمایید)
سمنیار « معرفی رمزکار ویروس شناسی ،تهدیدات امنیتی، راهکاری های حفاظت و مقابله با آنها » و گزارشات حاصل از آن اولین پژوهش بنده حقیر در حوزه رمزکاربدافزارشناسی به عنوان جایگاه اصلی باجگیرافزارها در سال 1392 بود که جهت استفاده علاقمندان و محققین آن را منتشر می کنم، امیدوارم که مفید باشد.
برخی دستاوردهای حاصل از این پژوهش (البته با تصحیح ایرادات) در آثار ذیل چاپ و منتشر شده اند:
مهرماه سال ۹۳ بود که در راستای تز کارشناسی ارشد خود آینده پژوهی در حوزه بدافزارهای و ضد بدافزارها انجام دادم. اطلاع نگاشت (Infograpich) ذیل بخشی از خروجی این کار بود.در این اطلاع نگاشت وضعیت بدافزارها و ضدبدافزارها در سه بازه زمانی گذشته، حال و آینده ترسیم شده است. به عنوان نمونه بر اساس پیش بینی های این آینده پژوهی تصور شد که در آینده نزدیک شاهد گسترش خدمات مجرمانه به عنوان یک سرویس در حوزه بدفزارها از جمله باجگیرافزارها باشیم. حدود ۴ ماه بعد شاهد شناسایی اولین پایگاه خدمات باجگیرافزار به عنوان یک سرویس (ransomware as a service) تحت عنوان TOX Virus توسط شرکت مکافی بودیم. جهت مشاهده اطلاع نگاشت با اندازه بزرگتر بر روی تصویر ذیل کلیک نمایید.
