حمله کاوشگر ارز دیجیتال به صنایع آب
شرکت امنیتی Radiflow، اولین بار است که یک شبکه صنعتی توسط CryptoJacking مورد حمله قرار گرفته است. به این ترتیب پس از باجافزارها، حملات احتمالی کاوشگر ارز دیجیتال نیز به طور غیرمستقیم متوجه سیستمهای صنعتی است.
بازدید :
زمان تقریبی مطالعه :
تاریخ : يکشنبه 1396/11/29
کاوش ارز دیجیتال یا به اصطلاح ماینینگ نوعی پروسه تأیید اطلاعات است. هدف آن فراهم آوردن امنیت تراکنشهای و اعتبارسنجی آن هاست. این فرآیند نیاز به حل مسائل پیچیده ریاضی دارد. برای این منظور ارزهای دیجیتال از مشارکتکنندگان در سراسر دنیا استفاده میکنند. این مشارکت کنندگان که به آنها ماینر گفته میشود با استفاده از نرمافزارهای مخصوص که بر روی سیستمهای خود نصب میکنند، به حل قسمتی از این مسائل ریاضی میپردازند. در ازای این همکاری به ماینرها به دو صورت تولید ارز دیجیتال جدید و یا تخفیف در تراکنشها پاداش داده میشود. هر چقدر قدرت پردازشی سیستم کاوشگر بیشتر باشد، با حل مسائل بیشتر، پاداش بیشتری دریافت میکند.
• اخراج کارمندان یکی از تأسیسات انرژی اتمی روسیه به دلیل تلاش برای استفاده از ابرکامپیوتر این سایت جهت کاوش ارز دیجیتال
• استفاده از سرورهای آسیبپذیر SSH و کاوش ارز دیجیتال و ارسال به دانشگاه KIM II SUN در کره شمالی
• حمله به سرور WebLogic اوراکل
به این ترتیب اپراتورها شاهد کندشدن سیستمهای مانیتورینگ خود هستند. با توجه به حساسیت سامانهها صنعتی ایجاد تأخیر در این سیستمها میتواند پیامدهای فیزیکی و جانی به دنبال داشته باشد.
از آنجایی که کاوشگر ارز باید با هاست های Mining Pool ارتباط داشته باشد و بلوک ها و تأییدیه کارها را دریافت کنند، Radiflow با بررسی ترافیک شبکه متوجه وجود ناهنجاری در ترافیک میشود.
این اولین بار است که یک شبکه صنعتی توسط CryptoJacking مورد حمله قرار گرفته است. به این ترتیب پس از باجافزارها، حملات احتمالی کاوشگر ارز دیجتیال نیز به طور غیرمستقیم متوجه سیستمهای صنعتی است.
• شرکت GE جهت تأمین امنیت سایبری محصولات صنعتی خود راه حل های متنوعی دارد. به عنوان نمونه GE با استفاده از سرویس (Cyber Asset Protection) CAP به صورت ماهانه به روز رسانیهای تست شده و سازگار با نرم افزارهای خود را برای اعضا ارسال میکند. این به روز رسانیها شامل:
– به روز رسانیهای سیستم عامل
– به روز رسانی های نرم افزار CIMPLICITY
– به روز رسانی آنتی ویروس
– به روز رسانی IDS Signatures
– به روز رسانی Word، Excel و Adobe Acrobat است.
• استفاده از راه حل OPShield شرکت GE
• مانتیورینگ شبکه و استخراج ناهنجاری
از اتصال شبکه صنعتی به اینترنت اجتناب گردد.
با استفاده از ابزار و تجهیزات مناسب همواره ترافیک شبکه صنعتی را به صورت پسیو پایش کنید و ناهنجارهای را شناسایی کنید.
به روز رسانیهای سیستم عامل و نرم افزارهای صنعتی را مطابق با روشهای پیشنهاد شده توسط سازنده انجام دهید.
راهکار امنیتی پیشنهاد شده توسط سازنده را اجرا کنید.
منبع: ارز دیجیتال
حملات CryptoJacking
حملات نرم افزار کاوش ارز دیجیتال به طور پنهانی بر روی شبکه و سیستم کاربران قرار میگیرد. در نتیجه از منابع پردازشی و پهنای باند شبکه جهت کاوش ارز دیجیتال استفاده میشود. به دنبال افزایش بی سابقه قیمت برابری ارز دیجیتال با ارز عادی و گسترش استفاده و مقبولیت آن، این نوع حملات نیز افزایش یافته است. در چند هفته اخیر چندین مورد از این حملات گزارش شده است:در این حمله سرورهای نرم افزار اسکادای CIMPLICITY از شرکت GE هدف قرار گرفته اند. این نرم افزار بر روی سیستم عامل نسبتاً قدیمی XP بدون به روزرسانی های مناسب و آنتی ویروس نصب بوده است.
• اخراج کارمندان یکی از تأسیسات انرژی اتمی روسیه به دلیل تلاش برای استفاده از ابرکامپیوتر این سایت جهت کاوش ارز دیجیتال
• استفاده از سرورهای آسیبپذیر SSH و کاوش ارز دیجیتال و ارسال به دانشگاه KIM II SUN در کره شمالی
• حمله به سرور WebLogic اوراکل
هدف قرار گرفتن تأسیسات آب و فاضلاب توسط CryptoJacking
درباره محل حمله صورت گرفته شده تنها به صنعت آب و فاضلاب در اروپا اشاره شده است و محل دقیق آن مشخص نیست. در نتیجه این حمله نرم افزار کاوش ارز دیجیتال بر روی ۴ سرور نرم افزار اسکادای CIMPLICITY متعلق به شرکت GE نصب گردیده است. این حمله به دنبال خرابکاری صنعتی و یا سرقت دادهها نمیباشد. تنها تلاش دارد از منابع سیستم جهت کاوش ارز دیجیتال Monero استفاده کند. اما در نتیجه این استفاده غیرمجاز و شدید از منابع سیستم و پهنای باند شبکه، از کارآیی سیستم اسکادا کاسته میشود و باعث ایجاد تأخیر در ارسال دستورات و مشاهده تغییرات در HMI میگردد.به این ترتیب اپراتورها شاهد کندشدن سیستمهای مانیتورینگ خود هستند. با توجه به حساسیت سامانهها صنعتی ایجاد تأخیر در این سیستمها میتواند پیامدهای فیزیکی و جانی به دنبال داشته باشد.
از آنجایی که کاوشگر ارز باید با هاست های Mining Pool ارتباط داشته باشد و بلوک ها و تأییدیه کارها را دریافت کنند، Radiflow با بررسی ترافیک شبکه متوجه وجود ناهنجاری در ترافیک میشود.
این اولین بار است که یک شبکه صنعتی توسط CryptoJacking مورد حمله قرار گرفته است. به این ترتیب پس از باجافزارها، حملات احتمالی کاوشگر ارز دیجتیال نیز به طور غیرمستقیم متوجه سیستمهای صنعتی است.
نحوه آلودگی
مطابق با اخبار منتشر شده، منشأ آلودگی یک سیستم HMI بوده است. بدافزار مربوطه از طریق لینک یک سایت تبلیغاتی به سیستم دانلود شده است. به این ترتیب احتمال داده میشود که کاربر سیستم HMI امکان باز کردن مرورگر وب را داشته است و در نتیجه این بدافزار وارد شبکه صنعتی شده است. بررسی این حمله هنوز به پایان نرسیده است و موارد بیان شده تنها در حد گمانه زنی است که توسط شرکت Radiflow منتشر شده است. نحوه گسترش آن در شبکه نیز نامشخص است.هدف حمله
در این حمله سرورهای نرم افزار اسکادای CIMPLICITY از شرکت GE هدف قرار گرفته اند. این نرم افزار بر روی سیستم عامل نسبتاً قدیمی XP بدون به روزرسانی های مناسب و آنتی ویروس نصب بوده است
راه های مقابله
• شرکت GE جهت تأمین امنیت سایبری محصولات صنعتی خود راه حل های متنوعی دارد. به عنوان نمونه GE با استفاده از سرویس (Cyber Asset Protection) CAP به صورت ماهانه به روز رسانیهای تست شده و سازگار با نرم افزارهای خود را برای اعضا ارسال میکند. این به روز رسانیها شامل:– به روز رسانیهای سیستم عامل
– به روز رسانی های نرم افزار CIMPLICITY
– به روز رسانی آنتی ویروس
– به روز رسانی IDS Signatures
– به روز رسانی Word، Excel و Adobe Acrobat است.
• استفاده از راه حل OPShield شرکت GE
• مانتیورینگ شبکه و استخراج ناهنجاری
توصیههای سازمانی
همواره شبکه صنعتی از سایر شبکههای اداری/داخلی مجزا باشد.از اتصال شبکه صنعتی به اینترنت اجتناب گردد.
با استفاده از ابزار و تجهیزات مناسب همواره ترافیک شبکه صنعتی را به صورت پسیو پایش کنید و ناهنجارهای را شناسایی کنید.
به روز رسانیهای سیستم عامل و نرم افزارهای صنعتی را مطابق با روشهای پیشنهاد شده توسط سازنده انجام دهید.
راهکار امنیتی پیشنهاد شده توسط سازنده را اجرا کنید.
منبع: ارز دیجیتال