بدافزار جدید می تواند عملیات مهندسی در محیط های ICS را از بین ببرد

تجزیه و تحلیل Forescout نشان داد که حملات ب،زار جدید که سیستم های کنترل صنعتی (ICS) را هدف قرار می دهند، می توانند عملیات مهندسی را از بین ببرند.

محققان خوشه هایی از دو نوع حمله ب،زار را شناسایی ،د که ایستگاه های کاری مهندسی میتسوبیشی و زیمنس را هدف قرار می دادند و از آگوست تا نوامبر ۲۰۲۴ در م،ن VirusTotal فهرست شدند.

اینها ، Ramnit بودند که ایستگاه های کاری میتسوبیشی را هدف قرار می داد و ب،زار آزمایشی جدیدی به نام Chaya_003 که ایستگاه های کاری زیمنس را هدف قرار می داد.

Chaya_003 توانایی تکمیل فرآیندهای مهندسی را نشان داده است.

محققان دریافتند که مهاجمان از خدمات فرمان و کنترل قانونی (C2) استفاده می کنند که تشخیص تهدیدات را دشوار می کند.

ایستگاه های کاری مهندسی کامپیوترهای استانداردی هستند که سیستم عامل های سنتی مانند ویندوز را همراه با نرم افزارهای مهندسی تخصصی ارائه شده توسط سازندگان تج،ات اجرا می کنند. این نرم افزار برای راه اندازی و برنامه ریزی دستگاه های مید، مانند کنترل کننده های منطقی قابل برنامه ریزی (PLC) در محیط های فناوری عملیاتی (OT) و ICS ضروری است.

Forescout به تحقیقات اخیر موسسه SANS اشاره کرد که نشان می دهد ایستگاه های کاری مهندسی به خطر افتاده بیش از 20 درصد از حوادث سیستم OT/ICS را تشکیل می دهند که این تحلیل جدید را برانگیخت.

گروه های ب،زاری که میتسوبیشی و زیمنس را هدف قرار می دهند

محققان بر روی دو دسته از موارد آپلود شده در VirusTotal برای بررسی تمرکز ،د: فایل های اجرایی مهندسی که توسط ابزارهای شناسایی ب،زار آلوده شده اند و فایل های بالقوه م،ب طراحی شده برای تعامل با نرم افزارهای مهندسی.

Ramnit ایستگاه های کاری میتسوبیشی را هدف قرار می دهد

Forescout دو ربات Ramnit را شناسایی کرده است که ایستگاه های کاری میتسوبیشی را آلوده می کنند.

Ramnit اولین بار در سال 2010 به ،وان یک تروجان بانکی که برای سرقت اعتبار طراحی شده بود ظاهر شد و بعداً به یک پلتفرم ماژولار تبدیل شد که قادر به دانلود پلاگین ها از سرور C2 بود.

ب،زار می تواند از طریق دستگاه های فیزیکی آلوده، مانند درایوهای USB، یا در سراسر شبکه هایی که توسط سیستم های IT ت،یم بندی شده ضعیف در معرض خطر قرار گرفته اند، گسترش یابد.

محققان نتوانستند نحوه آلوده ، دو گروه ramnits به ایستگاه های کاری مهندسی میتسوبیشی را تایید کنند. با این حال، آنها بر این باورند که این ب،زار ممکن است کدهای م،ب را به فایل های اجرایی قانونی ویندوز اضافه کرده باشد، مطابق با سایر آلودگی های Ramnit در برنامه های OT که از سال 2021 مشاهده شده است.

Chaya_003 ایستگاه های کاری زیمنس را هدف قرار می دهد

تحقیقات سه باینری را نشان داد که نشان دهنده سه تکرار از یک گروه ب،زار به نام Chaya_003 بود.

نام دو مورد از این باینری ها، «Is،.exe» و «els،.exe» نشان دهنده پنهان کاری عمدی به ،وان فرآیندهای سیستمی قانونی است و احتمالاً قصد فریب کاربران یا دور زدن راه حل های آنتی ویروس را دارد.

زیرساخت C2 Chaya_003 از وب هوک های Discord بهره می برد و قابلیت هایی برای نظرسنجی سیستم و اختلال در فرآیندها دارد.

همه نمونه ها عملکرد شمارش فرآیندهای سیستم، بازیابی اطلاعات مربوط به هر فرآیند و مقایسه نام فایل اجرایی با یک لیست از پیش تعریف شده را اجرا می کنند.

اگر فرآیند با یک ورودی در این لیست مطابقت داشته باشد، خاتمه می یابد.

محققان "ال،ای تکاملی واضح" را در نمونه های مورد تجزیه و تحلیل مشاهده ،د که نشان می دهد ب،زار در حال بهبود و آماده سازی برای استقرار گسترده تر است.

ایجاد انعطاف پذیری در ایستگاه های کاری مهندسی

Forescout از سازمان های صنعتی خواست تا برای بهبود امنیت خود در برابر حملاتی که ایستگاه های کاری مهندسی را هدف قرار می دهند، اقدام کنند. این موارد عبارتند از:

• تمام ایستگاه های کاری متصل به شبکه OT خود را شناسایی کنید و نسخه های نرم افزار، پورت های باز، اعتبارنامه ها و نرم افزار حفاظت نقطه پای، آنها را ارزیابی کنید.
• مطمئن شوید که همه نرم افزارها به آ،ین نسخه ها به روز شده اند و مطمئن شوید که راه حل های محافظت نقطه پایان فعال و به روز هستند
• از قرار دادن مستقیم ایستگاه های کاری مهندسی در معرض اینترنت خودداری کنید
• شبکه ها را به درستی ت،یم بندی کنید تا دستگاه های IT، IoT و OT را جدا کنید
• اتصالات شبکه را فقط به ایستگاه های کاری اداری و مهندسی تایید شده محدود کنید
• راه حل های نظارتی را به کار بگیرید که می توانند شاخص های م،ب مانند ب،زارهای IT شناخته شده را شناسایی کنند