بد افزار Pipedream؛ آچار فرانسه هکرها

کارشناسان امنیت سایبری که از این بد افزار به عنوان «آچار فرانسه» برای هکرها یاد می‌کنند، معتقدند که این بدافزار توسط «Chernovite Activity Group» ایجاد شده است. این بدافزار، می‌تواند مهاجمان با دسترسی به شبکه فناوری عملیاتی (OT) را قادر به نظارت و عملیات بر روی دستگاه‌های خاص «ICS/SCADA» مانند PLCهای « Schneider Electric » و PLCهای «OMRON Sysmac NEX» سازد.

چگونه مجرمان سایبری می توانند از این بدافزار استفاده کنند؟

مجرمان سایبری می‌توانند به دلیل معماری ماژولار این بد افزار، سوء استفاده‌هایی را علیه دستگاه‌های منتخب راه‌اندازی کنند. علاوه بر این، این نرم افزار شامل یک کنسول مجازی است که مواجهه با سیستم«ICS/SCADA» را شبیه‌سازی می‌کند. مهاجمان سایبری که از مهارت‌ پایین‌تری برخوردارند نیز می‌توانند با این بدافزار توانایی‌ هکرهای کارکشته را برای تعامل با دستگاه‌های مورد نظر خود به دست آورند.

عوامل تهدید دائمی پیشرفته (APT) می‌توانند دستگاه‌های مورد نظر را اسکن کنند، جزئیات دستگاه را جمع‌آوری کنند، فایل‌های نرم‌افزار مخرب را آپلود کنند و با استفاده از این ماژول‌ها، پارامترهای دستگاه را مورد دستکاری قرار دهند.

عوامل «APT» همچنین می‌توانند از AsrDrv103.sys (بدافزاری که یک درایور مادربرد آسیب‌پذیر ASRock را نصب و از آن بهره‌برداری می‌کند) برای اجرای کدهای مخرب در هسته ویندوز به منظور سوء استفاده از CVE-2020-15368 به کار گیری کنند. عوامل «APT» همچنین ممکن است بتوانند به صورت جانبی در داخل یک محیط IT یا OT حرکت کرده و در صورت وجود این بدافزار، دستگاه‌ها یا عملکردهای مهم را دچار اختلال کنند.

«Mousehole»، یکی دیگر از ابزارهای «Pipedream» است که می‌تواند مهاجمان را قادر سازد تا بر روی Open Platform Communications Unified Architecture یا OPC UA و سرورهایی که تبادل داده‌ها را تسهیل می‌کنند، اثر بگذارند.

شرکت‌ها می‌توانند با نظارت مداوم بر دستگاه‌های Schneider و Omron، غیرفعال کردن قابلیت‌های خاص و نظارت بر ‌PLCها برای اتصالات جدید، تهدید Pipedream را کاهش دهند. کسب و کارها همچنین باید بهترین شیوه‌ها را برای ایمن‌سازی شبکه‌های فناوری عملیاتی و اطمینان از آمادگی آنها برای پاسخ به حملات این بدافزار دنبال کنند. این اقدامات شامل توسعه و تمرین رویه‌های واکنش به حادثه می‌باشد. نظارت بر ICS برای مقابله با سطح حمله در حال گسترش، راه دیگری برای مقابله با این بدافزار است. در نهایت، یافتن فایل‌های پیکربندی سیستم عامل و کنترلر با کیفیت بالا می‌تواند به تقویت محیط OT کمک کند.

موضع‌گیری‌های متخصصان و صاحب نظران

اخیراً آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده به همراه FBI اعلامیه مشترکی صادر کردند و هشدار دادند که بدافزار Pipedream ممکن است با طیف گسترده‌ای از اجزای سیستم کنترل صنعتی تداخل داشته باشد. این بدافزار نسبت به جعبه ابزار هک قبلی سیستم کنترل صنعتی دارای ویژگی های بیشتری است که برای مختل کردن یا کنترل عملکرد دستگاه‌ها طراحی شده است. این بدافزار به طور خاص ‌PLC های فروخته شده توسط Schneider Electric و OMRON را هدف قرار می‌دهد. این‌PLC ها به عنوان رابط بین رایانه‌های رایج و حسگرها طراحی شده‌اند. کارشناسان برخی غول‌های فناوری ادعا کردند که Pipedream می‌تواند ۳۸ درصد از تکنیک‌های شناخته شده حمله را به اجرا گذاشته و ۸۳ درصد از تاکتیک‌های حمله شناخته شده ICS را نیز اجرا کند.

علاوه بر نگرانی‌های مطرح شده، امکان وجود ماژول‌ها و پلاگین‌های می‌باشد که به مهاجمان این اجازه را می‌دهد که دستگاه‌های بیشتری را مورد هدف قرار دهند. یک پلاگین ، مهاجمان را قادر می‌سازد تا موتورهای کوچکی را که به عنوان servos در شبکه های EtherCAT شناخته می‌شوند را دستکاری کنند. با تغییر شیرهای کنترل فشار، servoها می‌توانند جریان گاز طبیعی را در خطوط لوله تنظیم کنند.

نتیجه‌گیری

Packetlabs، یک شرکت پیشرو در تست امنیت شبکه و سیستم می‌باشد. این شرکت طیف گسترده‌ای از خدمات را ارائه داده که می‌تواند به افراد در شناسایی هرگونه آسیب‌پذیری در شبکه‌ها و سیستم‌های آن ها کمک کند و تیم کارشناسان این شرکت می‌توانند به افراد کمک کنند تا خطرات ناشی از بدافزار Pipedream را کاهش دهند. یکی از راه‌های اطمینان از ایمن بودن شرکت شما در مقابل Pipedream ، آزمایش کیفیت زیرساخت امنیتی آن می‌باشد.