آزمایشگاهی روسی، مسئول اجرای حمله سایبری به کارخانه پتروشیمی سعودی

شرکت آمریکایی فایرآی با انتشار گزارشی ادعا کرده که مسئول اجرای حمله سایبری پیشرفته‌ای که در سال گذشته میلادی یک کارخانه پتروشیمی سعودی را دچار اختلال‌هایی جدی کرد یک آزمایشگاه تحقیقاتی روسی است.

در حمله سایبری مذکور، از بدافزاری با عنوان Triton – که با نام Trisis نیز شناخته می‌شود – استفاده شده بود. این بدافزار بطور خاص برای دست‌درازی به سیستم‌های کنترل صنعتی موسوم به Triconex Safety Instrumented System – ساخت شرکت فرانسوی Schneider Electric – توسعه داده شده است.

بر اساس بررسی‌های انجام شده توسط شرکت‌های فایرآی، دراگوس و سیمانتک، Triton با هدف از کاراندازی کل پروسه تولید، قرار دادن دستگاه در یک وضعیت ناامن و یا حتی بروز انفجار ساخته شده است.

گروه پشت صحنه این بدافزار که فایرآی از آن با عنوان TEMP.Veles یاد می‌کند با بکارگیری Triton حداقل در یک مورد تا حدودی به اهداف خود دست یافته است.

به گزارش شرکت مهندسی شبکه گستر، روزنامه نیویورک‌تایمز در اواخر اسفند ماه سال گذشته از حمله‌ای سایبری پرده برداشت که در جریان آن رخنه یک بدافزار بسیار پیشرفته در یک کارخانه پتروشیمی سعودی متعلق به شرکتی خصوصی با نام تصنیع موجب بروز وضعیتی بحرانی گردید.

برخی منابع بدافزار استفاده شده در حمله مذکور را همان Triton می‌دانند.

اکنون در گزارشی که فایرآی آن را منتشر کرده یک آزمایشگاه تحقیقاتی وابسته به دولت روسیه با نام Central Scientific Research Institute of Chemistry and Mechanics – به اختصار CNIIHM – مسئول ساخت Triton اعلام شده است.

برخی از نشانه‌هایی که سبب گردیده که فایرآی با اطمینانی بالا، CNIIHM را سازنده Triton اعلام کند به‌شرح زیر است:

• مسیر یکی از بانک‌های داده بدافزار به فایل موقتی اشاره می‌کند که حاوی رشته‌ای در قالب نام کاربری است. جستجوی نام کاربری مذکور، محققان فایرآی را به یک پروفسور روسی که پیشتر یکی از متخصصان CNIIHM بوده رسانده است.
• در یکی از فعالیت‌های مخرب TEMP.Veles عملیات پویش و رصدی اجرا شده که منبع آن یک IP به نشانی 87.245.143.140 است. IP مذکور به نام CNIIHM ثبت شده است.
• ساعات ساخت بدافزار با ساعات کاری عادی با منطقه زمانی مسکو تطابق دارد.

همچنین فایرآی اعلام کرده که بر اساس بیانیه ماموریت CNIIHM و اطلاعات عمومی دیگر، این آزمایشگاه تحقیقاتی هم مجهز به تجهیزات لازم بوده و هم تخصص مورد نیاز برای ساخت چنین بدافزاری را دارا بوده است. به‌خصوص آنکه، CNIIHM با چندین مرکز نظامی روسیه نیز در ارتباط است.

البته این احتمال نیز مطرح است که یک با چند کارمند CNIIHM فعالیت‌هایی مرتبط با TEMP.Veles را بدون اطلاع مسئولان این آزمایشگاه در محل CNIIHM اجرا کرده باشد.

برخی کارشناسان پیشتر اجرای حمله سایبری به کارخانه پتروشیمی تصنیع را به ایران نسبت داده بودند.

مشروح گزارش فایرآی در اینجا قابل دریافت و مطالعه است.