همه چیز درباره بدافزار IronGate
در اواخر سال 2015، شرکت FireEye به نمونه هایی دست پیدا می کند که هدف آنها دست درازی به تجهیزات SCADA بوده است.
نمونه های مذکور که شرکت FireEye آنها را IronGate (دروازه آهنی) نامگذاری کرده از همان روشی استفاده می کنند که سال ها قبل بدافزار معروف Stuxnet از آن برای از کار انداختن سانتریفیوژهای استفاده شده در تأسیسات هسته ای ایران بهره برده بود.
به گزارش شرکت مهندسی شبکه گستر، محققان شرکت FireEye در حین بررسی بانک داده های سایت VirusTotal برای یافتن نمونه های Compile شده با PyInstaller متوجه وجود این نمونه ها می شوند.
نمونه های مذکور توسط چندین منبع در سال 2014 به این سایت ارسال شده بودند. این در حالی است که در آن زمان هیچکدام از ضدویروس ها قادر به شناسایی این نمونه ها نبودند.
نکته ای که سبب جلب توجه محققان FireEye به این نمونه ها شده بود، وجود کدهای مرتبط با سیستم های SCADA در آنها بوده است.
این نمونه ها یک فایل DLL استفاده شده در نرم افزاری که وظیفه آن مدیریت دستگاه های PLC است را با یک فایل DLL مخرب جایگزین می کنند. دستگاه های PLC برای کنترل ماشین های صنعتی در سیستم های SCADA به کار گرفته می شوند. در حقیقت این دستگاه ها رابط بین نرم افزار اجرا شده بر روی دستگاه کاربر و سیستم های SCADA هستند.
همانند Stuxnet، هدف IronGate نیز تزریق خود به پروسه رصدکننده SCADA، دست درازی به داده های دریافت شده از PLC و احتمالاً مخفی کردن خرابکاری رخ داده شده است.
Stuxnet این کار را با متوقف کردن PLC انجام می داد که در نتیجه آن نرم افزار سرعت سانتریفیوژها را ثابت نشان می داد. اما IronGate داده های معتبر PLC را ضبط کرده و سپس آنها را بصورت پیوسته به نرم افزار ارسال می کند. کاری مشابه چسباندن تصویری بر روی دوربین مدار بسته که وقوع اتفاقات واقعی را از دید فرد رصدکننده مخفی می کند.
با وجود تشابه کدهای استفاده شده با کدهای برنامه های محصولات شرکت Siemens، فایل DLL جایگزین شده توسط IronGate متعلق به هیچکدام از محصولات استاندارد این شرکت نبوده است. این موضوع و عدم ارتباط با آن با حملات فعال سبب شده که محققان FireEye نمونه ها را صرفاً یک بررسی آزمایشی توسط سازنده یا سازندگان آنها بدانند.
ضمن اینکه شرکت Siemens نیز عدم توانایی دست درازی IronGate به تجهیزات SCADA ساخت این شرکت را تایید کرده است.
هر چند پیچیدگی Stuxnet با این بدافزار قابل مقایسه نیست، اما با این فرض که در سال 2014 گروهی موفق به ساخت بدافزاری مشابه Stuxnet شده اند زنگ خطری است برای شرکت ها و سازمان هایی که در آنها تجهیزات SCADA وظایف حساسی را برعهده دارند.
متاسفانه با وجودی که روش های مبتکرانه استفاده شده در Stuxnet سالهاست که در دسترس همگان قرار گرفته اما راهکارهای دفاعی و پیشگیرانه در برابر این نوع بدافزارها، تکامل محسوسی نداشته است.
توضیح اینکه بدافزار مذکور توسط ضدویروس های McAfee و Bitdefender بترتیب با نام های Artemis!957581FB38A4 و Trojan.IronGate.A شناسایی می گردد.
