سیستم های کنترل صنعتی، هدف گونه جدید Havex

بدافزاری موسوم به Havex که پیشتر نفوذگران از آن برای حمله به شرکت‌های فعال در بخش انرژی استفاده می‌کردند، مدتی است که شرکتهای سازنده ابزارهای نرم افزاری و ماشینهای صنعتی را هدف قرار داده است.

در بهار امسال، نفوذگران با هک کردن وب‌گاه سازندگان سیستم‌های کنترل صنعتی و تزریق کد آلوده به نرم افزارهای ارائه شده بر روی این وب‌گاه‌ها، اقدام به انتشار گونه جدیدی از این بدافزار نمودند.

در بررسی‌های انجام شده توسط شرکت امنیتی F-Secure، سه وب‌گاه که از این طریق مورد حمله واقع شده بودند، کشف شده است. فایل‌های نصب نرم‌افزارهای مربوط به سیستم‌های کنترل صنعتی که بر روی این وب‌گاه‌ها قرار داشتند، به بدافزار Havex که یک اسب تروا (Trojan) از نوع دسترسی از راه دور (Remote Access) است، آلوده شده بودند. نفوذگران این فایل های نصب مجاز را به نحوی تغییر داده بودند که در حین نصب، فایلی با نام mbcheck.dll که فایل اصلی بدافزار Havex است، بر روی سیستم کپی و اجرا می‌شد.

هر چند که شرکت F-Secure، نام شرکت‌های صاحب این وب‌گاه‌ها را معرفی نکرده است، اما اعلام نموده که از این سه شرکت، دو شرکت، سازنده نرم‌افزارهایی برای دسترسی از راه دور به سیستم‌های کنترل صنعتی بوده و شرکت سوم هم سازنده دوربین‌های صنعتی با دقت بالا و نرم‌افزارهای مربوط به آن می‌باشد. مقر اصلی این شرکت‌ها در آلمان، سوئیس و بلژیک است. به گفته شرکت F-Secure احتمال وجود موارد کشف نشده مشابه وجود دارد.

علاوه بر جاسازی بدافزار در وب‌گاه شرکتهای تولیدکننده سیستم‌های کنترل صنعتی، نفوذگران از هرزنامه‌ها و ابزارهای بهره‌جو (Exploit) نیز برای انتشار این بدافزار استفاده می‌کرده‌اند.

همچنین یکی از قابلیت‌های گونه جدید بدافزار Havex، بررسی شبکه‌های محلی برای یافتن دستگاه‌هایی است که به درخواستهای از نوع Open Platform Communications پاسخ می‌دهند. Open Platform Communications استانداردی ارتباطی است که تبادل داده میان برنامه‌های کنترل سرپرستی و گردآوری داده (SCADA) تحت سیستم عامل Windows و سخت‌افزار کنترل صنعتی را میسر می‌سازد. با استفاده از این قابلیت، بدافزار Havex اطلاعات مربوط به دستگاه‌های کنترل صنعتی در سطح شبکه سازمان را جمع آوری  و سپس آنها را به سرور کنترل و فرماندهی نفوذگران ارسال می‌کند.

به گفته شرکت F-Secure، عمده قربانیان Havex در اروپا قرار دارند اما نمونه‌هایی از این آلودگی در آمریکا نیز شناسایی شده است.

زمستان سال گذشته نیز شرکت امنیتی CrowdStrike گزارشی را منتشر کرد که نشان می‌داد گونه قبلی بدافزار Havex سازمانهای فعال در بخش انرژی را در تابستان همان سال، هدف قرار داده بود.

توضیح اینکه گونه جدید بدافزار Havex، توسط ضدویروس‌های McAfee و Bitdefender به ترتیب با نام‌های RDN/Generic BackDoor!yl و Dropped:Trojan.Generic.11277511 قابل شناسایی می‌باشد.