صبح روز دوشنبه ۶ تیر ۱۴۰۱ سیستمهای صنایع فولاد ایران مورد حمله سایبری قرار گرفت و فعالیت آنها مختل شد. در ابتدا مدیرعامل فولاد خوزستان این حمله را «یک توطئه ناکام» خواند و ادعا کرد که هیچ آسیبی به خط تولید وارد نشده و همه بخشها فعال است. اما ساعاتی بعد مرکز ملی فضای مجازی ایران این حمله را تایید و اعلام کرد که بخشهایی از فولاد هرمزگان و خوزستان مختل شده است.
در اواخر دهه ۸۰ فعالیتهای غنی سازی ایران با استفاده از ویروس «استاکسنت» مختل شد و مسئولان را به این فکر واداشت که سیستمهایی داخلی و ایزوله ایجاد کنند. اما در یکی دو سال اخیر با حملات متعدد به سامانه ها و زیرساختهای دولتی میزان کارایی سیستمهای داخلی جداسازی شده از اینترنت زیر سوال رفته است.
حمله سایبری به تاسیسات کنترل صنعتی (ICS)موضوعی پیچیده است و معمولا با برنامه ریزیهای چند ماهه یا چند ساله انجام میشود. به همین دلیل بررسی حمله به صنایع فولاد ایران موضوعی حائز اهمیت است و شاید با توجه به اجرای موفق و ایجاد انفجار در تاسیسات بتوان آن را بزرگترین حمله سایبری به زیرساختهای ایران بعد از ماجرای استاکسنت دانست.
حمله به صنایع فولاد با چه ابزارهایی انجام شد؟
تجزیه و تحلیلهای اولیه نشان میدهد که بدافزارهای مورد استفاده در این حمله، مرتبط با بدافزارهایی است که سال گذشته در حمله به سامانه راه آهن ایران استفاده شده است. در حمله به سامانه راه آهن از زیرگونهای از بدافزارهای پاک کننده (wiper) که با عنوان «Meteor» شناخته میشود استفاده شد.
بررسیهای موسسه امنیتی «چک پوینت» نشان از آن دارد که بدافزارهای استفاده شده در حمله به سامانه راه آهن و حمله به صنایع فولاد منشا یکسان دارند و از یک پایگاه کد مشترک بهره بردهاند. تفاوت این دو نوع بدافزار در آن است که نسخه استفاده شده در حمله به صنایع فولاد (Chaplin) بر خلاف نسخه بدافزار حمله به راه آهن (Meteor) قابلیت پاک کننده نداشته است.
بدافزار «چاپلین» حاوی اطلاعات «RTTI» بوده است که محققان از طریق آن توانستهاند اطلاعات بیشتری راجع به نوع حمله کسب کنند. RTTI، تعیین کننده هویت نوع اجراست که به محققان امکان می دهد نوع دقیق یک رویداد را پیدا کنند. با استفاده از روش ذکر شده محققان دریافتهاند که بد افزار چاپلین با جدا کردن آداپتورهای شبکه، خارج کردن کاربر و اجرای یک رشته کد از قبل آماده شده فعالیت خود را آغاز کرده است.
این رشته کد مانع تعامل مسئولان امنیتی سامانه با رایانه شده است و دسترسی آنها به رایانهها و شبکه مسدود کرده است. این بدافزار در ادامه با حذف کردن کلید رجیستری «Lsa» مانع «بوت شدن» سیستم شده تا بتواند عملیات خود را ادامه دهد. به این ترتیب مهاجمان موفق شدند تا در سه مرحله بدافزار را اجرا و دسترسی کارکنان شرکت به شبکه را مسدود کنند.
Read More
This section contains relevant reference points, placed in (Inner related node field)
طبق تحقیقات موسسه چک پوینت، احتمالا گروه هکری «گنجشک درنده» که مسئولیت حمله به صنایع فولاد را پذیرفته، از ابزارهای توسعه داده شده توسط گروه «ایندرا» بهره برده است. گروه ایندرا برای اولین بار در سال ۲۰۱۹ ظاهر شد و تا به حال مسئولیت مجموعهای از حملات علیه شرکتهای مرتبط با جمهوری اسلامی ایران و حزبالله لبنان را برعهده گرفته است.
نفوذ اولیه به سیستمهای صنایع فولاد از چه طریقی بوده است؟
با توجه به تصویری که هکرها از سامانه کنترل کننده فولاد خوزستان منتشرکردهاند، برخی از کارشناسان اعتقاد دارند که دسترسی اولیه هکرها به سیستمهای فولاد خوزستان از طریق نقصهای امنیتی موجود در نرم افزار «ایریسا» انجام شده است. شرکت ایریسا در زمینه ارائه خدمات اتوماسیون صنعتی و سيستمهای اطلاعاتی فعالیت میکند.
این شرکت که ادعا دارد با هدف «جلوگيری از خروج ارز با گسترش دانش کسب شده» فعالیت میکند، از ابزارهایی استفاده میکند که برخی از آنها از سال ۲۰۱۷ به روز رسانی نشدهاند. با مراجعه به وبسایت این شرکت میتوان دریافت که علاوه بر کل صنایع فولاد ایران؛ پتروشیمی شیراز، شرکت توزیع برق اصفهان، شرکت مخابرات ایران و برخی نهادهای دیگر از خدمات این شرکت استفاده میکنند که با توجه به نقصهای امنیتی و استفاده این شرکت از ابزارهای منسوخ شده، میتوان انتظار داشت دیگر مشتریان ذکر شده ایریسا اهداف بعدی هکرها باشند.
حتی جستجوها بیانگر آن است که این شرکت از ابزارهای اصل استفاده نمیکند و از نسخههای «کرک شده» بهره میبرد. پایگاه «سرتفا» که در زمینه امنیت سایبری و حریم خصوصی فعالیت میکند، در مورد نرم افزار کنترل کننده صنعتی VMware Horizon که این شرکت استفاده میکند، عنوان کرده است که « به احتمال بسیار زیاد شرکت ایریسا از نسخه کرک شده ۱۷.۳.۳۳.۲۷۵۳ که در وبسایتهای ایرانی منتشر میشه، استفاده میکرده.»
در حالی که هر سال به چندین نهاد مختلف از جمله ستاد کل نیروهای مسلح، ناجا و وزارت ارتباطات برای مقابله با تهدیدهای سایبری بودجه اختصاص داده میشود، آمار حمله به زیرساختهای دولتی به طور چشمگیری افزایش یافته است.
حکومت ایران بر روی راه اندازی سیستمهای داخلی و جداسازی آنها از اینترنت به منظور مقابله با حملات سایبری تمرکز دارد، غافل از آنکه استفاده از ابزارهای کارآمد، بهروز و امن و بهره بردن از نیروهای متخصص درجه اهمیت بالاتری دارد. برای نمونه در جریان هک شهرداری تهران، هکرها فهرستی از مشخصات سرورهای شهرداری را منتشر کردند که با بررسی مشخصات فنی سرورهای شهرداری تهران مشخص شد تعداد زیادی از سیستمها برای مدت طولانی بهروزرسانی نشده بودند. در میان سرورهای شهرداری تهران، تعداد زیادی سرور VMware ۵.۵ به چشم میخورد که از سال ۲۰۱۸ پشتیبانی از آن سرویس متوقف شده است، یا در نمونهای دیگر در هک شهرداری حتی از وبسایت شهرداری نسخه پشتیبان تهیه نشده بود و برای راه اندازی مجدد وبسایت شهرداری از نسخههای بایگانی شده وبسایت «archive» کمک گرفته شد.