سیستم SCADA چیست؟

سیستم SCADA در دهه 1960 به منظور جمع آوری اطلاعات و کنترل عملکرد سیستم های صنعتی به صورت بلادرنگ طراحی و ایجاد گردید. از آنجا که در آن زمان دسترسی به اینترنت به صورت تجاری تا تقریبا 3 دهه بعد وجود نداشته است در نتیجه آسیب پذیری هایی که امروزه با آن درگیر هستیم در آن زمان معنا و مفهومی نداشته است و عملا امکان ورود بدافزار و آسیب رساندن به سیستم های کنترلی از بیرون از واحد صنعتی امکان پذیر نبوده است. هر چند در ادامه مشاهده می کنید که چطور اولین حمله از طریق سیستم اسکادا در سال 1982 رخ داد.  نسل اولیه سیستم های SCADA دارای معماری یکپارچه یا Monolithic  بود. معماری نسل دوم سیستم SCADA به صورت توزیع شده یا Distributed طراحی شده است. معماری نسل سوم به صورت شبکه ای یا Networked می باشد که امروزه مورد استفاده می باشد. امروزه SCADA از پروتکل های اینترنت مانند IP استفاده می کند. در نتیجه آسیب پذیری این سیستم ها افزایش یافته است ولی با استفاده از تکنیک های امنیتی و ابزارهای امنیتی و پروتکل های استاندارد موجب بهبود امنیت سیستم اسکادا مورد استفاده شویم. نسل سوم سیستم های SCADA با مجموعه ای از حملات سایبری مواجه شده است. در زیر تعدادی از حملات صورت گرفته به سیستم SCADA را با هم مرور می کنیم.

نمایی از سیستم های کنترل صنعتی

حملات سایبری به سیستم SCADA

حملات بدون تایید

شاید اولین حمله از طریق SCADA در اوایل سال اتفاق افتاده باشد. طبق مجموعه اسنادی به نام “پرونده خداحافظی“، آژانس اطلاعات مرکزی ایالات متحده آمریکا (سیا) در زمان فروش محصولات و تجهیزات “تغییر یافته” به اتحاد جماهیر شوروی یک اسب تروا به تجهیزات اضافه شد و منجر به انفجار در خط لوله انتقال گاز ترانس سیبری شد. در پرونده این حادثه فقط به نصب توربین های معیوب اشاره شد ولی هیچگاه حمله تایید نشده است.

در سال اخباری مبنی بر حمله به گازپروم، – Gazprom – شرکت نفتی روسیه، که در آن یک اسب تروایی بر روی سیستم خط لوله آنها نصب شده بود، از طریق یک فرد ناشناس از داخل مجموعه گازپروم گزارش شد.  این حمله برای چند ساعت کنترل جریان گاز را مختل کرده است اما هرگز توسط شرکت گازپروم تایید نشده است

حملات ناخواسته

چندین سیستم SCADA مورد حمله ویروس هایی قرار گرفته اند که به طور خاص برای آنها طراحی و هدف گذاری نشده بودند ولی به طور تصادفی این حملات رخ داد

سال نیروگاه هسته ای دیویس-بسه مورد حمله کرم اسلمر قرار گرفت. ترافیک تولید شده توسط کرم موجب اختلال در شبکه شد. به مدت 4 ساعت 50 دقیقه پرسنل کارخانه نمی توانستند به سیستم نمایش پارامتر ایمنی SPDS دسترسی پیدا کنند.کرم اسلمر نتوانست بر روی اطلاعات آنالوگ تاثیر بگذارد، بنابراین اپراتورهای کارخانه می توانستند اطلاعات آنالوگ را دریافت کنند. به دلیل استفاده از دیواره آتش یا فایروال نفوذ کرم اسلمر به شبکه شرکت متوقف ماند ولی این موضوع موجب شد تا نظارت دقیق تری بر روی امنیت سیستم های SCADA انجام شود و پروتکل های امنیتی بازنگری شوند. برای خواندن کامل تر در مورد حادثه نیروگاه های هستی از این لینک استفاده کنید.

سال شرکت CSX در ایالات متحده قربانی کرم سوبیگ شد. کرم Sobig کرم رایانه ای بود که در ماه اوت 2003 میلیون ها کامپیوتر دارای سیستم عامل ویندوز مایکروسافت متصل به اینترنت را آلوده کرد. کرم Sobig یک سیستم کامپیوتری را در مقر CSX Corporation آلوده کرد، و سیستم سیگنالینگ و سایر سیستم ها را خاموش کرد و منتج به تاخیر در حرکت قطارها شد. برای کسب اطلاعات بیشتر در مورد کرم Sobig می تواند از این لینک استفاده کنید.

سال شرکت های حمل و نقل مانند British Airways ، Railcorp ، Delta Airlines با کرم Sasser که از آسیب پذیری سرریز بافر برای انتشار خود به سایر سیستم ها سو استفاده می کرد، آسیب دیدند. Sasser یک کرم رایانه ای است که بر روی رایانه هایی که نسخه های آسیب پذیر سیستم عامل Microsoft Windows XP و Windows 2000 را اجرا می کنند تاثیر می گذارد. Sasser با بهره برداری از سیستم از طریق یک پورت آسیب پذیر گسترش می یابد. در برخی از انواع تهاجمی این کرم ممکن است باعث ایجاد ترافیک در شبکه بشود. اثر گذاری این اتفاق باعث تاخیر در حرکت قطار و لغو برخی از پروازها شد

سال نیروی دریایی فرانسه قربانی کرم Conficker شد. این یک آسیب پذیری در سیستم عامل ویندوز بود که با حدس زدن رمز مدیر سیستم خود را نصب می کند. سپس کرم می تواند به سایر دستگاه های آسیب پذیر انتشار یابد، خود را به روز کرده و بدافزارهای بعدی را بارگیری و نصب کند. اثر گذاری این اتفاق منجر به زمین گیر شدن هواپیماها و عدم بارگیری مطابق برنامه زمان بندی شده

حملات هدفمند

در اینجا حملاتی است که بطور خاص برای سیستمهای SCADA طراحی و اجرا شده اند را مرور می کنیم

سال شرکت های نفت، گاز و پتروشیمی مانند اکسون، شل، بی پی توسط ویروس Night Dragon که با استفاده از Spear phishing توزیع شد، مورد حمله قرار گرفتند. این ویروس اجازه می دهد تا کامپیوترهای آلوده از راه دور توسط مهاجمین کنترل شوند. دست کم 71 سازمان از جمله پیمانکاران دفاعی، سازمان ملل و کمیته المپیک مورد حمله قرار گرفتند. در این حملات مشکل خاصی برای سیستم ها رخ نداد ولی گزارش شده است که مهاجمان از نقشه های عملیاتی سیستم های SCADA استفاده کرده و داده هایی را جمع آوری کرده اند.

استاکس نت چطور کار می کند

استاکس نت یا Stuxnet چطور فعالیت می کند؟

سال استاکس نت کرم رایانه ای بود که در تاسیسات هسته ای نطنز ایران برای جاسوسی و برنامه ریزی مجدد سیستم های صنعتی پیدا شد. این ویروس داده ها را به یک کنترل کننده منطقی برنامه پذیر رهگیری و تغییر داده است. تاثیرگذاری این کرم طبق گزارشات حدود یک پنجم سانتریفیوژهای هسته ای ایران را دچار آسیب جدی کرد.

سال دو ویروس بعدی مشاهده شدند اما هیچ گزارشی از سازمان های آسیب دیده دریافت نشده است. Havex به عنوان نرم افزار قابل دانلود از طریق وب سایت ها توزیع شد. این نرم افزار شبکه محلی را برای سرورهایی که داده ها را از تجهیزات صنعتی جمع آوری می کنند اسکن کرده و داده های جمع آوری شده را به یک سرور کنترل ارسال می کند. در اینجا انگیزه های هکرها سرقت اطلاعات و جاسوسی بود.

Blacken در یک سرور کنترل یافت شد. این نرم افزار کاربران نرم افزار GE Cimplicity در SCADA  را هدف قرار داده بود و دستورات اجرایی را در فهرست اصلی نرم افزار نصب می کند. برخی از این دستورهای اجرایی ربات هایی هستند که می توان از راه دور به آنها فرمان داد. همچنین به پرونده های طراحی ساده اشاره می کند اما هنوز کاربرد دقیق آنها درک نشده است.

طبق گزارشی از سوی دفتر امنیت اطلاعات فدرال آلمان، یک حمله هدفمند به شبکه رایانه ای یک کارخانه فولاد سازی آلمان در سال 2014 خسارت زیادی وارد کرد. مهاجمان برای دسترسی به شبکه دفاتر کارخانه فولاد از طریق ایمیل های فیشینگ و نیز مهندسی اجتماعی پیشرفته استفاده کرده و آن را به سمت شبکه تولید سوق دادند. این گزارش مهارتهای فنی آنها را “بسیار پیشرفته” توصیف می کند، که این مهارت های فنی نه تنها در زمینه امنیت سنتی فناوری اطلاعات بلکه به دانش فنی دقیق سیستمهای کنترل صنعتی یا ICS و فرایندهای تولید را نیز شامل می شود. اگرچه جزئیات این بدافزار مبهم است، اما در این گزارش آمده است که این حمله منجر به خرابی اجزای کنترل شده است، که “منجر به خاموش شدن غیرقابل کنترل کوره بلند شده ، و آن را در یک حالت تعریف نشده رها کرده و منجر به خسارت عظیمی شده است “

در نتیجه ، بر اساس موارد ذکر شده در بالا ، حملات SCADA با وجود هدفمند بودن بسیار گسترده نیستند. به جز استاکس نت و ویروسی که کارخانه ذوب آهن آلمان را هدف قرار داده است ، هیچ حمله دیگری نتوانسته باعث تخریب فیزیکی شود. دلیل آن چیست؟ این حملات پیچیده نه تنها به مهارتهای فنی پیشرفته و دانش زیرساختهای مورد حمله نیاز دارد، بلکه به منابع مالی قابل توجهی نیز نیاز دارد که همه مجرمان سایبری از آن برخوردار نیستند. با نگاهی به چگونگی تکامل جرایم اینترنتی، می توان انتظار داشت که چنین حملات مخربی افزایش یابد.

پرتو ارتباط صبا با داشتن زنجیره ای از تجهیزات سخت افزاری امنیتی شامل دیتا دیود که دارای تاییدیه افتا می باشد و فایروال ایرانی و همچنین تیم متخصص نرم افزاری در حوزه امنیت شبکه می تواند راهکارهای امنیتی کامل و جامعی را برای مجموعه شما طراحی و پیاده سازی کند. برای دریافت مشاوره و اطلاعات بیشتر با ایمیل admin@pesaba.com و شماره تلفن 44215738 با ما در ارتباط باشید.