آزمایشگاهی روسی، مسئول اجرای حمله سایبری به کارخانه پتروشیمی سعودی
شرکت آمریکایی فایرآی با انتشار گزارشی ادعا کرده که مسئول اجرای حمله سایبری پیشرفتهای که در سال گذشته میلادی یک کارخانه پتروشیمی سعودی را دچار اختلالهایی جدی کرد یک آزمایشگاه تحقیقاتی روسی است.
در حمله سایبری مذکور، از بدافزاری با عنوان Triton – که با نام Trisis نیز شناخته میشود – استفاده شده بود. این بدافزار بطور خاص برای دستدرازی به سیستمهای کنترل صنعتی موسوم به Triconex Safety Instrumented System – ساخت شرکت فرانسوی Schneider Electric – توسعه داده شده است.
بر اساس بررسیهای انجام شده توسط شرکتهای فایرآی، دراگوس و سیمانتک، Triton با هدف از کاراندازی کل پروسه تولید، قرار دادن دستگاه در یک وضعیت ناامن و یا حتی بروز انفجار ساخته شده است.
گروه پشت صحنه این بدافزار که فایرآی از آن با عنوان TEMP.Veles یاد میکند با بکارگیری Triton حداقل در یک مورد تا حدودی به اهداف خود دست یافته است.
به گزارش شرکت مهندسی شبکه گستر، روزنامه نیویورکتایمز در اواخر اسفند ماه سال گذشته از حملهای سایبری پرده برداشت که در جریان آن رخنه یک بدافزار بسیار پیشرفته در یک کارخانه پتروشیمی سعودی متعلق به شرکتی خصوصی با نام تصنیع موجب بروز وضعیتی بحرانی گردید.
برخی منابع بدافزار استفاده شده در حمله مذکور را همان Triton میدانند.
اکنون در گزارشی که فایرآی آن را منتشر کرده یک آزمایشگاه تحقیقاتی وابسته به دولت روسیه با نام Central Scientific Research Institute of Chemistry and Mechanics – به اختصار CNIIHM – مسئول ساخت Triton اعلام شده است.
برخی از نشانههایی که سبب گردیده که فایرآی با اطمینانی بالا، CNIIHM را سازنده Triton اعلام کند بهشرح زیر است:
- مسیر یکی از بانکهای داده بدافزار به فایل موقتی اشاره میکند که حاوی رشتهای در قالب نام کاربری است. جستجوی نام کاربری مذکور، محققان فایرآی را به یک پروفسور روسی که پیشتر یکی از متخصصان CNIIHM بوده رسانده است.
- در یکی از فعالیتهای مخرب TEMP.Veles عملیات پویش و رصدی اجرا شده که منبع آن یک IP به نشانی 87.245.143.140 است. IP مذکور به نام CNIIHM ثبت شده است.
- ساعات ساخت بدافزار با ساعات کاری عادی با منطقه زمانی مسکو تطابق دارد.
همچنین فایرآی اعلام کرده که بر اساس بیانیه ماموریت CNIIHM و اطلاعات عمومی دیگر، این آزمایشگاه تحقیقاتی هم مجهز به تجهیزات لازم بوده و هم تخصص مورد نیاز برای ساخت چنین بدافزاری را دارا بوده است. بهخصوص آنکه، CNIIHM با چندین مرکز نظامی روسیه نیز در ارتباط است.
البته این احتمال نیز مطرح است که یک با چند کارمند CNIIHM فعالیتهایی مرتبط با TEMP.Veles را بدون اطلاع مسئولان این آزمایشگاه در محل CNIIHM اجرا کرده باشد.
برخی کارشناسان پیشتر اجرای حمله سایبری به کارخانه پتروشیمی تصنیع را به ایران نسبت داده بودند.
مشروح گزارش فایرآی در اینجا قابل دریافت و مطالعه است.