Geekly articles weekly

تريتون هو أكثر الفيروسات دموية

مرحبا يا هبر! هذه ترجمة هواة لرسالة "Triton هي البرمجيات الخبيثة الأكثر دموية في العالم ، وهي تنتشر" بقلم Martin Giles ، المنشور في 5 مارس 2019. تم إنشاء جميع الرسوم التوضيحية بواسطة Ariel Davis.
المفسد: اتهم المتسللين الروس مرة أخرى بالهجمات الإلكترونية.

الصورة يمكن لفيروسات الفيروسات تعطيل أنظمة الأمن المصممة لمنع الحوادث الصناعية. تم اكتشافه في الشرق الأوسط ، لكن المتسللين من وراءه يستهدفون شركات في أمريكا الشمالية ودول أخرى.


كمتخصص خبير في أمن المعلومات ، ساعد جوليان غاتمانيس الشركات في التعامل مع تهديدات تهديد الإنترنت مرات عديدة. ولكن عندما تم استدعاء مستشار أسترالي للسلامة لإنتاج البتروكيماويات في المملكة العربية السعودية في صيف عام 2017 ، اكتشف شيئًا جعل دمه باردًا.

نشر قراصنة البرمجيات الخبيثة التي سمحت لهم للسيطرة على أنظمة الأمن الصناعي. المنظمون والبرامج ذات الصلة هي خط الدفاع الأخير ضد الكوارث التي تهدد الحياة. من المفترض أنها ستتدخل عند اكتشاف الظروف الخطرة ، وإما إعادة العمليات إلى مستوى آمن أو إيقافها تمامًا عن طريق تنشيط آليات تخفيف الضغط أو إغلاق الصمامات.

تسمح لك البرامج الضارة بالتحكم في أنظمة الأمان عن بُعد. إذا أوقف المهاجمون أو تعرقلوا تشغيل هذه الأنظمة ثم عطلوا الأجهزة عن العمل مع البرامج الأخرى ، فقد تكون العواقب وخيمة. لحسن الحظ ، أعطى خطأ في التعليمات البرمجية للمتسللين قبل أن يتمكنوا من أي ضرر. أدى الرد الأمني ​​في يونيو 2017 إلى توقف الإنتاج. في وقت لاحق ، في أغسطس ، تم إيقاف تشغيل العديد من الأنظمة الأخرى - الأمر الذي أدى إلى توقف آخر للعمل.

الحادث الأول يعزى خطأ إلى فشل في الميكانيكا. بعد الحادث الثاني ، دعا أصحاب الخبراء للتحقيق. اكتشفوا فيروسًا يُطلق عليه Triton (يُسمى أحيانًا Trisis). استهدف طراز Triconex للتحكم ، الذي ابتكرته شركة شنايدر إلكتريك الفرنسية.

في أسوأ الحالات ، يمكن أن يؤدي الشفرة الفيروسية إلى إطلاق كبريتيد الهيدروجين أو التسبب في حدوث انفجارات ، مما يعرض الحياة في مكان العمل والمناطق المحيطة بها للخطر.

استذكر غاتمانيس أن التعامل مع الفيروس في الإنتاج الذي أعيد تشغيله بعد الحادث الثاني كان هو نفس المشكلة.
كنا نعلم أننا لا نستطيع الاعتماد على سلامة الأنظمة الأمنية. كان الوضع أسوأ من أي وقت مضى. "
مهاجمة المصنع ، عبر المتسللين روبيكون المخيفة. لأول مرة ، صادف عالم الأمن السيبراني مدونة صُممت خصيصًا لتعرض الناس لخطر الموت. يمكن العثور على أنظمة الأمان هذه ليس فقط في صناعة البتروكيماويات ؛ هذه هي الحدود الأخيرة في كل شيء من وسائل النقل أو محطات معالجة المياه إلى محطات الطاقة النووية.

يثير اكتشاف تريتون تساؤلات حول كيف كان المتسللون قادرين على الوصول إلى هذه النظم المهمة الحرجة. تدمج المنشآت الصناعية الاتصالات في جميع أنواع المعدات - وهي ظاهرة تعرف باسم إنترنت الأشياء. يتيح هذا الاتصال للعاملين التحكم في الأجهزة عن بُعد وجمع البيانات بسرعة وجعل العمليات أكثر كفاءة ، ولكن في الوقت نفسه ، يحصل المتسللون على أهداف محتملة أكثر.

يبحث مبدعو Triton الآن عن ضحايا جدد. تدعي Dragos ، وهي شركة متخصصة في مجال الأمن السيبراني الصناعي ، أن هناك أدلة قد ظهرت خلال العام الماضي على أن مجموعة من المتسللين تستخدم نفس أساليب الاستخبارات الرقمية لاكتشاف أهداف خارج الشرق الأوسط ، بما في ذلك أمريكا الشمالية. إنها تنشئ صيغًا مختلفة للشفرات يمكنها اختراق أنظمة أمان أكثر.

الاستعداد القتالي


ظهرت أخبار حول وجود Triton في ديسمبر 2017 ، على الرغم من أن البيانات الشخصية للمالك كانت سرية. (رفض Gatmanis وغيره من الخبراء المشاركين في التحقيق تسمية الشركة خوفًا من أن هذا قد يثني ضحايا المستقبل عن المشاركة الخاصة للمعلومات المتعلقة بالهجمات الإلكترونية.)

خلال العامين الماضيين ، كانت الشركات المتخصصة في أمن المعلومات تطارد الفيروس وتحاول معرفة من يقف وراء تطوره. يرسم تحقيقهم صورة مثيرة للقلق: يتم إنشاء واستضافة سلاح إلكتروني متطور من قبل مجموعة من المتسللين المصممين والمصممين الذين لا تزال هوياتهم مجهولة .

ظهر قراصنة داخل شبكة الشركات التابعة لشركة للبتروكيماويات في عام 2014. ومنذ ذلك الحين ، وجدوا طريقًا إلى شبكة إنتاج الشركات ، على الأرجح من خلال ثغرة أمنية في جدار حماية رديء التكوين ومهمته منع الوصول غير المصرح به. دخلوا محطة العمل الهندسية ، أو باستخدام خطأ غير مصحح في رمز Windows ، اعتراض أي بيانات الموظف.

نظرًا لأن محطة العمل كانت متصلة بنظام أمان المؤسسة ، فقد تمكن المتسللون من دراسة طراز أنظمة التحكم في الأجهزة ، بالإضافة إلى إصدارات البرامج المضمنة في ذاكرة الجهاز والتأثير على نقل المعلومات بينهم.

ربما حصلوا بعد ذلك على نفس طراز وحدة التحكم واستخدموه لاختبار البرامج الضارة. هذا جعل من الممكن تقليد البروتوكول ووضع قواعد رقمية تسمح لمحطة عمل هندسية بالتفاعل مع أنظمة الأمن. اكتشف المتسللون أيضًا "ثغرة يوم صفر" (خطأ غير معروف سابقًا) في برنامج Triconex المدمج. هذا يسمح لإدخال الكود في ذاكرة أنظمة الأمن ، مما يضمن الوصول إلى وحدات التحكم في أي وقت. وبالتالي ، يمكن للمهاجمين أن يأمروا أنظمة الأمن بالإغلاق ، ثم بمساعدة البرامج الضارة الأخرى تثير وضعا غير آمن في المؤسسة.

النتائج يمكن أن تكون رهيبة. يرتبط أسوأ حادث صناعي أيضًا بتسرب الغازات السامة. في ديسمبر 1984 ، أصدر مصنع Union Carbide لإنتاج مبيدات الآفات في بوبال بالهند سحابة هائلة من الأبخرة السامة - مما أسفر عن مقتل الآلاف من الناس. الأسباب: سوء الخدمة والعامل البشري. أيضا ، نظم السلامة الخاطئة وغير العاملة في المصنع يعني أن خط دفاعه الأخير قد فشل.

مزيد من الاستعداد القتالي


لم تكن هناك حالات كثيرة حاول فيها المتسللون إلحاق الأذى الجسدي باستخدام الفضاء الإلكتروني. على سبيل المثال ، خرجت Stuxnet - المئات من أجهزة الطرد المركزي النووية الإيرانية عن السيطرة ودمرت نفسها بنفسها (2010). مثال آخر ، CrashOverride هي ضربة قراصنة على نظام الطاقة في أوكرانيا (2016). (يحتوي الشريط الجانبي الخاص بنا على ملخص لهذه الهجمات وبعض الهجمات الإلكترونية الفيزيائية.) *

ومع ذلك ، حتى أكثر المتشائمين السيبرانية كاساندر لم ير مثل هذه البرامج الضارة مثل تريتون.
ويوضح جو سلفيك ، وهو ضابط سابق في البحرية الأمريكية يعمل الآن في دراغوس: "يبدو أن توجيه الأنظمة الأمنية كان صعباً من الناحية الأخلاقية والفنية حقًا".
كما صدم خبراء آخرون لرؤية أخبار القاتل.
وقال برادفورد هيغت ، استشاري Accenture المتخصص في الأمن السيبراني الصناعي: "حتى Stuxnet والفيروسات الأخرى لم يكن لديها قط نية صارخة لا لبس فيها لإصابة الناس".
الصورة

على الأرجح ، ليس من قبيل المصادفة أن تظهر البرامج الضارة عندما قام المتسللون من بلدان مثل روسيا وإيران وكوريا الشمالية بتكثيف أبحاثهم في قطاعات "البنية التحتية الحيوية" . شركات النفط والغاز وشركات الكهرباء وشبكات النقل حيوية للاقتصاد الحديث.

في خطاب ألقاه العام الماضي ، حذر دن كوتس ، مدير الاستخبارات الأمريكية ، من أن خطر هجوم سيبراني يشل البنية التحتية الحيوية لأميركا يتزايد. ووجه أوجه التشابه مع زيادة النشاط الإلكتروني للجماعات الإرهابية التي سجلتها المخابرات الأمريكية قبل 11 سبتمبر 2001.
"بعد عقدين تقريبًا ، أنا هنا لأوجه تحذيرًا ، تومض الأضواء باللون الأحمر مرة أخرى. اليوم ، البنية التحتية الرقمية التي تخدم بلدنا تتعرض لهجوم حرفيًا.
في البداية بدا أن تريتون كان من عمل إيران ، وهي العدو اللدود للمملكة العربية السعودية. في تقرير صدر في أكتوبر الماضي ، ألقى FireEye ، وهي شركة لأمن المعلومات تشارك في التحقيق من البداية ، باللوم على دولة أخرى: روسيا.

قام المتسللون باختبار عناصر من الكود لجعل اكتشافه مهمة مستحيلة لمكافحة الفيروسات. اكتشف FireEye ملفًا نسيه المتسللون على شبكة الشركة وتمكّن من تتبع الملفات الأخرى من نفس منصة الاختبار. كانت تحتوي على عدة أسماء بالأحرف السيريلية وعنوان IP المستخدم لبدء العمليات المتعلقة بالفيروسات.

تم تسجيل هذا العنوان لدى معهد البحوث المركزي للكيمياء والميكانيكا في موسكو ، وهي منظمة حكومية تركز على البنية التحتية الرئيسية والسلامة الصناعية. أبلغت FireEye أيضًا عن أدلة تشير إلى تورط أستاذ في هذا المعهد. ومع ذلك ، أشار التقرير إلى أن FireEye لم تجد أدلة يمكن أن تشير بشكل لا لبس فيه إلى تورط المعهد في تطوير Triton.

لا يزال الباحثون يتفحصون أصل الفيروس ، حيث يمكن أن تنشأ نظريات كثيرة حول المتسللين المؤلفين. في الوقت نفسه ، يريد غاتمانيس مساعدة الشركات على تعلم الدروس المهمة من تجربة المصنع السعودي المماثلة. في مؤتمر السلامة الصناعية S4X19 في كانون الثاني / يناير ، أوجز بعض منها. على سبيل المثال ، تجاهل ضحية هجوم Triton العديد من أجهزة الإنذار المضادة للفيروسات الناجمة عن البرامج الضارة. لم تتمكن من اكتشاف حركة مرور غير عادية داخل شبكاتها. ترك العمال أيضًا المفاتيح الفعلية التي تتحكم في الإعدادات في أنظمة Triconex في وضع يسمح بالوصول عن بُعد إلى برنامج الأداة.

قد يبدو هذا كحالة ميؤوس منها ، لكن غاتمانيس يدعي أنها ليست كذلك.
"كنت في العديد من المصانع الأمريكية التي كانت أقل نضجا عدة مرات [في مقاربي للأمن السيبراني] من هذه المنظمة" ، يشرح غاتمانيس.


تريتون: جدول زمني


2014
قراصنة الوصول إلى شبكة الشركة من المصنع في المملكة العربية السعودية

يونيو 2017
توقف الإنتاج الأول

أغسطس 2017
توقف الإنتاج الثاني

ديسمبر 2017
نشر معلومات الهجوم السيبراني

أكتوبر 2018
تقارير FireEye أنه على الأرجح تم إنشاء Triton في مختبر روسي

يناير 2019
يظهر المزيد من المعلومات الحادث


يشير خبراء آخرون إلى أن المتسللين الذين يعملون لصالح الحكومة مستعدون لمتابعة أهداف غامضة وصعبة نسبيًا. تم تصميم أنظمة الأمان خصيصًا لحماية مجموعة متنوعة من العمليات ، لذا فإن برمجة برنامج فيروس يتطلب الكثير من الوقت والعمل المضني. على سبيل المثال ، يحتوي جهاز التحكم Triconex الخاص بشنايدر إلكتريك على العديد من الطرز المختلفة ، ويمكن أن يكون لكل منها إصدار مختلف من البرامج الثابتة.

كانت حقيقة أن المتسللين ذهبوا إلى مثل هذه التكلفة الباهظة لتطوير شركة Triton ، وهي دعوة للاستيقاظ لشنايدر وبائعي الأمن الآخرين مثل Emerson (الولايات المتحدة الأمريكية) و Yokogawa (اليابان). تم الإشادة بشنايدر لمشاركته تفاصيل علنية حول الهجوم من قبل المتسللين ، بما في ذلك تغطية خطأ يوم الصفر ، والذي تم إصلاحه لاحقًا. ومع ذلك ، خلال العرض التقديمي لشهر يناير ، انتقد Gatmanis الشركة لعدم قدرتها على التفاعل مع المحققين فور وقوع الهجوم.

تم التأكيد لشنايدر على أنها تعاونت مع شركة تعرضت لهجمات إلكترونية مثلما فعلت مع وزارة الأمن الداخلي الأمريكية وغيرها من الوكالات التي تجري التحقيق. تم توظيف المزيد من الأشخاص وتم تحسين أمان البرامج الثابتة والبروتوكولات المستخدمة.

يقول أندرو كلينج ، الرئيس التنفيذي لشنايدر ، إن الدرس المهم الذي تم تعلمه من هذا الحادث هو أن الشركات ومصنعي المعدات بحاجة إلى إيلاء المزيد من الاهتمام للمجالات التي قد تؤدي التسوية إلى كارثة ، حتى لو كان الهجوم عليهم غير مرجح للغاية. على سبيل المثال ، نادراً ما تستخدم تطبيقات البرمجيات والبروتوكولات القديمة التي تتحكم في تفاعلات الأدوات.
يقول كيلينج: "قد تعتقد أنه لن يزعج أحد أبدًا انتهاك [بعض] البروتوكول الغامض الذي لم يتم توثيقه ، ولكن عليك أن تسأل عما ستكون عليه النتائج إذا فعلوا ذلك؟"
الصورة

مستقبل مختلف؟


على مدى العقد الماضي ، أضافت الشركات اتصال الإنترنت وأجهزة استشعار لجميع أنواع المعدات الصناعية. يتم استخدام البيانات التي تم جمعها لكل شيء. بدءًا من العلاج الوقائي ، مما يعني استخدام التعلم الآلي للتنبؤ بشكل أفضل بموعد الحاجة إلى هذه الخدمة الوقائية ، وينتهي بعمليات الإنتاج الدقيقة. تم أيضًا اتخاذ خطوة كبيرة للتحكم في العمليات عن بُعد باستخدام الهواتف الذكية والأجهزة اللوحية.

كل هذا يمكن أن يجعل العمل أكثر كفاءة وإنتاجية ، وهو ما يفسر السبب ، وفقًا لمجموعة ARC التي تراقب السوق ، من المتوقع أن تنفق حوالي 42 مليار دولار على معدات الإنترنت الصناعية ؛ على سبيل المثال ، أجهزة الاستشعار الذكية وأنظمة التحكم الآلي. ولكن المخاطر واضحة أيضًا: فكلما كانت المعدات متصلة ، زاد عدد المهاجمين الذين يستهدفون الهجمات.

لردع مجرمي الإنترنت ، تعتمد الشركات عادةً على استراتيجية تُعرف باسم "الدفاع العميق": فهي تنشئ عدة مستويات من الأمان وتستخدم جدران الحماية لفصل شبكات الشركات عن الإنترنت. تتمثل مهمة المستويات الأخرى في منع المتسللين من الوصول إلى شبكات المؤسسات وأنظمة التحكم الصناعية.

تشتمل طرق الحماية أيضًا على أدوات مكافحة الفيروسات للكشف عن الفيروسات ، وبشكل متزايد ، برنامج AI الذي يحاول التعرف على السلوك غير الطبيعي في أنظمة تكنولوجيا المعلومات.

بالإضافة إلى ذلك ، تُستخدم أنظمة التحكم الأمني ​​والأنظمة المادية الآمنة للعطل كحماية نهائية. تحتوي النظم الأكثر أهمية عادة على نسخ فعلية عديدة للحماية من فشل أي عنصر.

لقد أثبتت هذه الاستراتيجية موثوقيتها. لكن زيادة عدد المتسللين الذين لديهم ما يكفي من الوقت والمال والدافع لاستهداف البنية التحتية الحيوية ، وكذلك زيادة في نمو النظم المتصلة بالإنترنت - كل هذا يعني أن الماضي لا يمكن أن يكون دليلًا موثوقًا به للمستقبل.

أبدت روسيا ، على وجه الخصوص ، رغبة في استخدام البرنامج كسلاح ضد الأهداف المادية التي يمكنه استخدامها لاختبار الأسلحة الإلكترونية. يُظهر تقديم Triton في المملكة العربية السعودية أن المتسللين المصممين على استعداد لقضاء سنوات في البحث عن طرق للتغلب على جميع مستويات الحماية هذه.

لحسن الحظ ، تم اعتراض المهاجمين على المشروع في المملكة العربية السعودية ، وتعلمنا الكثير حول كيفية عملهم. هذا تذكير منطقي بأن المتسللين ، مثل المطورين الآخرين ، يرتكبون أخطاء أيضًا. ماذا لو أن الخلل الذي تم إدخاله عن غير قصد ، بدلاً من إيقاف تشغيل الأنظمة بأمان ، "يحيد" نظام الأمن ، وهذا يحدث بالضبط في الوقت الذي يجعل فيه الخطأ أو العامل البشري العملية الحيوية عديمة الفائدة؟

يحث الخبراء العاملون في أماكن مثل المختبر القومي الأمريكي في ولاية أيداهو الشركات على مراجعة جميع عملياتهم في ضوء ظهور تريتون والتهديدات السيبرانية الفيزيائية الأخرى ، وكذلك تقليل المسارات الرقمية بشكل كبير أو القضاء عليها تمامًا والتي يمكن للمتسللين من خلالها الوصول إلى العمليات الحيوية .

سيتعين على الشركات تحمل التكاليف ، لكن Triton هو تذكير بأن المخاطر تتزايد. يعتقد غاتمانيس أن الهجمات الجديدة التي تستخدم الفيروسات القاتلة تكاد تكون حتمية.
يقول غاتمانيس: "على الرغم من أن هذه كانت المرة الأولى ، سأكون متفاجئًا للغاية إذا كانت هذه هي الحالة الأولى والأخيرة"

* بعض التهديدات السيبرانية الجديرة بالملاحظة (الحذر ، السياسة)

2010 - Stuxnet

صممه الوكالة الأمريكية نات. الأمن إلى جانب المخابرات الإسرائيلية ، كان الفيروس دودة كمبيوتر - وهو رمز ينسخ نفسه من كمبيوتر إلى آخر دون تدخل بشري. على الأرجح ، تم تهريبه إلى عصا USB ، وكان مخصصًا لوحدات التحكم المنطقي القابلة للبرمجة التي تتحكم في العمليات الآلية. أثار الفيروس تدمير أجهزة الطرد المركزي المستخدمة لتخصيب اليورانيوم في مصنع في إيران.

2013 - Havex

تم تصميم Havex لمراقبة أنظمة التحكم في المعدات. من المفترض أن هذا سمح للمتسللين باكتشاف كيفية تنظيم الهجوم بالضبط. الرمز هو حصان طروادة عن بعد (RAT ) ، والذي يسمح للمتسللين بالتحكم في أجهزة الكمبيوتر عن بعد. استهدف الفيروس آلاف الشركات الأمريكية والأوروبية والكندية ، خاصة في مجالات الطاقة والبتروكيماويات.

2015 - BlackEnergy

BlackEnergy ، طروادة أخرى ، "تدور في العالم الإجرامي" لبعض الوقت ، ولكن بعد ذلك تم تكييفه من قبل المتسللين الروس لشن هجوم على العديد من شركات الطاقة الأوكرانية. في ديسمبر 2015 ، ساعد في إثارة انقطاع التيار الكهربائي. تم استخدام الفيروس لجمع معلومات حول أنظمة شركات الطاقة وسرقة بيانات اعتماد الموظفين.

2016 - CrashOverride

المعروف أيضا باسم Industroyer. , . (« »), . , , . — .

Source: https://habr.com/ru/post/ar443254/

More articles:


All Articles