به نقل از واحد آگاهی بخشی امان، سیستم های کنترل و اتوماسیون صنعتی (DCS، PLC، اسکادا، تله‌متری، دیسپاچینگ، ESD و غیره) ازجمله اهداف آسیب­پذیر در مقابل حملات سایبری‌اند. دلایل متعددی برای این آسیب­پذیری‌های قابل‌توجه می­توان ذکر کرد. افزایش انگیزه مهاجمان و سوق پیدا کردن جنگ‌های سایبری به سمت زیرساخت‌های حیاتی صنعتی یکی از این دلایل است.

بهره‌گیری روزافزون صنایع از فناوری‌های جدید به‌ویژه در بخش سیستم های حفاظت و کنترل، دلیل دیگر گسترده بودن اهداف قابل تهدید در صنایع است. گستردگی و پیچیدگی­های فنی، جغرافیایی و سازمانی صنایع که معمولاً با عدم یکپارچگی مدیریت امنیت سایبری نیز همراه است موجب می­شود بخش­های مختلفی از سیستم ­ها و تجهیزات این مجموعه­ ها در معرض تهدید باشد.

به‌تازگی سازمان‌های NSA، DOE، CISA،FBI  [1]در خصوص هک و نفوذ به سیستم های کنترل صنعتی (ICS)، سیستم های اسکادا(SCADA) و PLCهای مرتبط با برندها و پروتکل ذیل هشدار داده‌اند:

  • Schneider Electric programmable logic controllers (PLCs)
  • OMRON Sysmac NEX PLCs
  • Open Platform Communications Unified Architecture (OPC UA) servers

در این هشدار تأکید شده است که مهاجمین در این نفوذها توانسته‌اند دسترسی کاملی به شبکه‌های صنعتی قربانی پیدا نمایند. یکی از نکات قابل‌توجه که در این حملات گزارش داده‌شده این است که مهاجمین از ابزارهای توسعه داده‌شده خاص‌منظوره‌ای استفاده کرده‌اند تا بتوانند سطح دسترسی و ابعاد حمله را تا عمق سیستم های کنترل صنعتی (که PLCها و DCSها هستند) گسترش دهند. در این حملات مهاجمین از مرحله شناسایی، نفوذ اولیه، گسترش نفوذ و وارد آمدن حملات از این ابزارهای خاص‌منظوره استفاده می‌نمایند که در تجارب بالغ‌بر هشت‌ساله رصد حملات توسط شرکت امان نیز کمتر شاهد آن بودیم.

در این حملات شاهد این بودیم که سیستم های کنترل صنعتی از نوع ایستگاه‌های مهندسی دارای سیستم‌های عامل ویندوز، از اکسپلویت‌های آسیب‌پذیری‌های شناخته‌شده درایورهای مادربردهای ASRock مورد نفوذ قرار گرفتند.

جزئیات فنی

همان‌طور که در ابتدای این گزارش بیان شد، اخیراً در خصوص هک و نفوذ به شبکه‌ها و تجهیزات کنترل صنعتی Schneider Electric، OMRON و پروتکل OPC UA هشدار جدی داده‌شده است. در لیست ذیل جزئیات بیشتری از این دارایی‌های آسیب‌پذیر را مشاهده می‌کنیم:

  • Schneider Electric MODICON and MODICON Nano PLCs, including (but may not be limited to) TM251, TM241, M258, M238, LMC058, and LMC078;
  • OMRON Sysmac NJ and NX PLCs, including (but may not be limited to) NEX NX1P2, NX-SL3300, NX-ECC203, NJ501-1300, S8VK, and R88D-1SN10F-ECT
  • OPC Unified Architecture (OPC UA) servers.  

 ابزارهای مذکور ماژولار بوده و می‌توانند به شکل کاملاً خودکار توسط مهاجمین اجرا شوند. این ابزارها دارای یک کنسول مجازی با یک رابط فرمان شبیه به رابط دستگاه‌های کنترل و اتوماسیون صنعتی هستند. متأسفانه این ماژول‌های خطرناک این امکان را ایجاد می‌نمایند که حتی مهاجمین با سطح مهارتی پایین، بتوانند قابلیت‌های پیشرفته مهاجمان حرفه‌ای را شبیه‌سازی نمایند و این برای صنایع کشور می‌تواند بسیار خطرناک باشد.

علاوه بر این، این گروه از مهاجمین از ابزاری استفاده کنند که یک درایور مادربرد آسیب‌پذیر شناخته‌شده به نام AsrDrv103.sys  را نصب می‌کنند و از آسیب‌پذیری با شناسه CVE-2020-15368  موجود در آن برای اجرای بدافزار در سطح هسته ویندوز استفاده می‌کنند. در ادامه مهاجمین با استفاده از تکنیک‌های حرکات جانبی سعی می‌کنند از راه‌های آشکار و پنهان میان شبکه‌های اداری، فاوا و نظایر آن به شبکه‌های صنعتی نفوذ کنند که لازم است صنایع کشور نسبت به آن آگاه باشند. در ادامه به تفکیک سازنده و پروتکل به این موضوع خواهیم پرداخت.

ابزار APT برای دستگاههای Schneider Electric

ابزار موردنظر برای تجهیزات شرکت اشنایدر دارای ماژولی‌هایی است که امکان ارتباط از طریق پروتکل معمول مدیریتی و مدباس TCP بر روی پورت 502 را فراهم می‌کند. این ماژول‌ها می‌تواند این امکان را بدهند که:

  • مهاجمین یک اسکن سریع جهت شناسایی PLCهای شرکت اشنایدر بر روی شبکه محلی صنعت انجام دهند. این اسکن با ارسال پیام‌های مالتی کست[1] UDP با پورت مقصد 27127 انجام می‌گیرد. لازم به ذکر است اسکن از طریق پروتکل UDP با پورت مقصد 27127 یک اسکن استاندارد است که توسط ایستگاه‌های کاری مهندسی برای شناسایی عادی PLC ها در شبکه‌های صنعتی استفاده می‌شود و ممکن است لزوماً نشان‌دهنده فعالیت‌های مخرب نباشد. این نکته بسیار مهم است که در تنظیم قواعد سیستم های تشخیص نفوذ صنعتی و SIEM به نحوی عمل نماییم که هشدار‌های منفی کاذب (به دلیل رفتار طبیعی شبکه) گزارش ندهیم. ما در امان، در حوزه خدمات شناسایی حملات به این نکات کلیدی نهایت توجه را داریم تا در بالاترین سطح کیفی بتوانیم به شرکت‌ها و صنایع کشور ارائه خدمات داشته باشیم.
  • این ماژول‌‌ها امکان اجرای حملات جست‌وجوی رمزهای عبور دستگاه‌های PLC را با استفاده از پروتکلCODESYS  یا سایر پروتکل‌های رایج و از طریق پورت 1740 UDP را میسر می‌کند. همان‌طور که در دوره‌های آموزشی تخصصی امنیت صنعتی امان همیشه تذکر می‌دهیم، چنانچه برای دسترسی به PLCها، DCS  و حتی ESD از رمز‌های عبور پیش‌فرض یا ساده استفاده نماییم مهاجمین با استفاده از این ابزارها می‌توانند حتی به تجهیزات لایه کنترل محلی مانند PLCها نیز دسترسی پیدا نمایند. در این هشدار تذکر داده‌شده است که امکان دارد این ماژول‌ها، سایر تجهیزاتی که از طریق CODESYS ارتباط برقرار می‌کنند را نیز موردحمله قرار دهند که زنگ خطری است برای برخی صنایع که از این تجهیزات و پروتکل مربوطه استفاده می‌کنند.

همان‌طور که در تصور نمادین ذیل مشاهده می‌کنیم، این ماژول‌ها امکان اجرای حملات ممانعت از خدمات (DoS) بر روی تجهیزات PLC را به نحوی فراهم می‌کنند که از طریق شبکه امکان دسترسی به کنترل‌کننده‌ها و مدیریت فرایند وجود نخواهد داشت.

تصویر نمادین نفوذ به یک DCS
  • این ماژول‌ها امکان اجرای حملات ممانعت از خدمات(DoS) با ارسال بسته‌های مرگ[1] علیه تجهیزات PLC را به نحوی فراهم می‌کند که امکان پیکربندی مجدد و راه‌اندازی مجدد PLC سلب خواهد شد.
  • این ماژول‌ها باعث قطع ارتباط کاربران مربوطه و سیستم مهندسی با PLC می‌شود و مهندسین بهره‌بردار یا تعمیر و نگهداری، مجبور خواهند شد مجدد به PLC درخواست تصدیق اصالت دهند. احتمال می‌رود مهاجمین از این طریق بتوانند نام کاربری و رمز‌های عبور ‌PLCها را به دست آورند.
  • این ماژول‌ها امکان ارسال فرمان‌های مختلف از طریق پروتکل مدباس را نیز فراهم می‌کند و این ویژگی می‌تواند برای PLCهای غیر از برند اشنایدر نیز کارا باشد که واحد‌های متولی امنیت صنایع کشور لازم است در این مورد تدابیری را اتخاذ نمایند.

در جدول ذیل مشخصات فنی تاکتیک‌ها و تکنیک‌های این ابزار در مورد برند اشنایدر را بر اساس چارچوب ATT&CK for ICS مشاهده می‌کنیم.

Tactic Technique
Execution Command-Line Interface [T0807]
  Scripting [T0853]
Persistence Modify Program [T0889]
  System Firmware [T0857]
  Valid Accounts [T0859]
Discovery Remote System Discovery [T0846]
  Remote System Information Discovery [T0888]
Lateral Movement Default Credentials [T0812]
  Program Download [T0843]
  Valid Accounts [T0859]
Collection  
  Monitor Process State [T0801]
  Program Upload [T0845]
  Monitor Process State [T0801]
Command and Control Commonly Used Port [T0885]
  Standard Application Layer Protocol [T0869]
Inhibit Response Function Block Reporting Message [T0804]
  Block Command Message [T0803]
  Denial of Service [T0814]
  Data Destruction [T0809]
  Device Restart/Shutdown [T0816]
  System Firmware [T0857]
Impair Process Control Modify Parameter [T0836]
  Unauthorized Command Message [T0855]
Impact Denial of Control [T0813]
  Denial of View [T0815]
  Loss of Availability [T0826]
  Loss of Control [T0827]
  Loss of Productivity and Revenue [T0828]
  Manipulation of Control [T0831]
  Theft of Operational Information [T0882]

ابزار APT برای دستگاههای OMRON

ابزار موردنظر برای تجهیزات شرکت OMRON دارای ماژولی‌هایی است با امکانات ذیل:

  • این ماژول‌ها به مهاجمین این قابلیت را می‌دهد که از طریق پروتکل FINS  اقدام به شناسایی تجهیزات OMRON نمایند.
  • در شناسایی به کمک این ابزارها امکان دریافت و شناسایی آدرس MAC  تجهیزات صنعتی وجود دارد.
  • این ماژول‌ها به مهاجمین این قابلیت را می‌دهد که اطلاعات پروتکل‌ HTTP را که سوی تجهیزات صنعتی دریافت می‌شود را تجزیه‌وتحلیل نمایند.
  • این ماژول‌ها به مهاجمین این قابلیت را می‌دهد که به کمک روش سرشماری[2] به تجهیزات متصل به PLC  دسترسی پیدا کنند و همچنین بتوانند از تجهیزات متصل به PLC ، نمونه/داده‌ برداری انجام دهند.
  • این ماژول‌ها به مهاجمین این قابلیت را می‌دهد که هر نوع فایل دلخواهی را بر روی PLCها بازیابی یا از PLCها پشتیبان‌گیری نمایند.
  • درنهایت، این ماژول‌ها به مهاجمین این قابلیت را می‌دهد که بر روی این PLCها یک کد مخرب سفارشی را برای اهداف حملات دیگر و برای روز مبادا بارگذاری نمایند که امان در مورد این ویژ‌گی‌های به جد هشدار می‌دهد. این ماژول‌ها امکان غالب تعاملاتی که در بردار حملات، توسط مهاجمین در چارچوب ATT&CK for ICS ارائه‌شده است را فراهم می‌کند. تمامی این تکتیک‌ها و تاکتیک‌ها در دوره‌های آموزشی پیشگامان امنرم آرمان تبیین می‌شود. در جدول ذیل این تکنیک‌ها و تاکتیک‌ها مشخص‌شده‌اند.‌
Tactic Technique
Initial Access Remote Services [T0886]
Execution Command-Line Interface [T0807]
  Scripting [T0853]
  Change Operating Mode [T0858]
  Modify Controller Tasking [T0821]
  Native API [T0834]
Persistence Modify Program [T0889]
  Valid Accounts [T0859]
Evasion Change Operating Mode [T0858]
Discovery  Network Sniffing [T0842]
  Remote System Discovery [T0846]
  Remote System Information Discovery [T0888]
Lateral Movement Default Credentials [T0812]
  Lateral Tool Transfer [T0867]
  Program Download [T0843]
  Remote Services [T0886]
  Valid Accounts [T0859]
Collection Detect Operating Mode [T0868]
  Monitor Process State [T0801]
  Program Upload [T0845]
Command and Control Commonly Used Port [T0885]
  Standard Application Layer Protocol [T0869]
Inhibit Response Function Service Stop [T0881]
Impair Process Control Modify Parameter [T0836]
  Unauthorized Command Message [T0855]
Impact Damage to Property [T0879]
  Loss of Safety [T0837]
  Manipulation of Control [T0831]
  Theft of Operational Information [T0882]

ابزار APT برای  پروتکل OPC UA

ابزار موردنظر برای تجهیزاتی که پروتکل OPC UAرا پشتیبانی می‌کنند یا از آن استفاده می‌کنند دارای ماژولی‌هایی است با امکانات ذیل:

  • این ماژول‌ها به مهاجمین این قابلیت را می‌دهد که سرورهای OPC UA را شناسایی نمایند.
  • این ماژول‌ها به مهاجمین این قابلیت را می‌دهد که سرورهای OPC UA را به کمک نام‌های کاربری و رمز عبور پیش‌فرض یا سرقت شده مورد دسترسی قرار دهند.
  • علاوه بر موارد فوق این ماژول‌ها امکان نوشتن تگ‌ها توسط OPC UA را فراهم می‌کند که به جد قابلیتی با سطح ریسک بالا است و شرکت امان در مورد سوءاستفاده‌های آتی احتمالی در صنایع کشور (در صورت عدم ارتقاء) هشدار می‌دهد. لازم به ذکر است که در چند سال اخیر، در مورد قابلیت‌های OPC UA و ویژگی‌های امنیتی آن در دوره‌های آموزشی مطالب متعددی را خدمت مخاطبین گرامی امان ارائه کرده‌ایم. باوجوداین قابلیت‌ها، مشابه هر پروتکل دیگری لازم است مقوله به‌روزرسانی تجهیزات مرتبط را در دستور کار قرار دهیم.

در جدول ذیل این تکنیک‌ها و تاکتیک‌ها مشخص‌شده‌اند.‌

Tactic Technique
Execution Command-Line Interface [T0807]
  Scripting [T0853]
Persistence Valid Accounts [T0859]
Discovery Remote System Discovery [T0846]
  Remote System Information Discovery [T0888]
Lateral Movement Valid Accounts [T0859]
Collection Monitor Process State [T0801]
  Point & Tag Identification [T0861]
Command and Control Commonly Used Port [T0885]
  Standard Application Layer Protocol [T0869]
Impact Manipulation of View [T0832]
  Theft of Operational Information [T0882]

راهکارهای مقابله و کاهش ریسک

بر اساس اطلاعات در دسترسی فعلی امان تاکنون در کشور آلودگی مرتبط با این ابزارهای APT گزارش نشده است. در ادامه برخی راهکارهای کاهش ریسک و مقابله با ابزارهای فوق همراه با تجربیات امان در این حوزه ارائه می‌شود. لازم به ذکر است که این راهکارها برای تمامی محیط‌های صنعتی آزموده نشده است و حتماً توصیه می‌شود که قبل از پیاده‌سازی در شبکه صنعتی در شرایط آزمایشگاهی یا محدود مورد آزمایش قرار گیرند.

  • توصیه معمول در این موارد این است که شبکه‌های صنعتی (OT) چنانچه ارتباطی با شبکه اداری، فاوا، اینترنت و نظایر آن دارند در سریع‌ترین زمان این ارتباطات قطع یا محدود شود. لازم به ذکر است در بسیاری از صنایع مشاهده می‌کنیم که تصور به ایزوله بودن کامل شبکه صنعتی وجود دارد اما ارزیابی‌های متعدد شاهد آن بودیم که اتصالاتی میان شبکه OT با شبکه IT وجود دارد.
  • چنانچه در صنعت خود از ضدبدافزار[3]یا سیستم تشخیص نفوذ (IDS) استفاده می‌کنید (در صورت به‌روزرسانی شرکت ارائه‌دهنده) هرچه سریع‌تر محصول امنیتی خود را به‌روزرسانی نمایید.
  • ·         استفاده از تجهیزات جمع‌آوری لاگ‌های امنیتی نظیر IDSها و SIEM توصیه می‌شود. به مدیران شبکه‌ها‌‌ی کنترل صنعتی توصیه می‌شود که به کمک محصولاتی مانند SIEM کنترل صنعتی و سیستم تشخیص نفوذ صنعتی (IDS) به شکل مستمر کلیه تجهیزات سیستم و ترافیک عبوری را پایش نمایید.
  • چنانچه در شبکه‌ صنعتی یا تجهیزات مربوطه امکان تصدیق هویت چند عامله یا چندمرحله‌ای دارید حتماً آن را فعال نمایید.

جهت مطالعه سایر راهکارهای امنیتی و دسترسی به گزارش کامل این ویژه نامه روی  این لینک کلیک نمایید.

چنانچه تمایل دارید گزارش حملات، آسیب‌پذیری‌ها و ویژه‌نامه‌هایی مشابه این گزارش را دریافت نمایید، اطلاعات تماس به‌ویژه آدرس ایمیل به همراه معرفی سازمان/صنعت خود را به نشانی info@AmanSec.ir ارسال نمایید تا به شکل رایگان این گزارش‌ها را دریافت نمایید.



 


[1] https://www.cisa.gov/uscert/ncas/alerts/aa22-103a

[2] multicast

[3] packet of death

[4] Polling

[5] ‌ antivirus