أبلغت شركة Dragos للأمن السيبراني عن برامج ضارة يمكنها مهاجمة أنظمة التحكم الصناعية (ICS) وخداعها للقيام بسلوك ضار، مثل إيقاف تشغيل التدفئة والماء الساخن في منتصف الشتاء.
تشير تقارير TechCrunch إلى أن البرمجيات الخبيثة، التي يطلق عليها اسم FrostyGoop، فعلت ذلك بالضبط في شهر يناير في لفيف بأوكرانيا، عندما فقد سكان أكثر من 600 مبنى سكني الحرارة لمدة يومين في درجات حرارة متجمدة.
وفقًا لـ Dragos، فإن FrostyGoop هو البرنامج الخبيث التاسع المعروف الذي يستهدف الضوابط الصناعية. كما أنها أول شركة تختار على وجه التحديد Modbus، وهو بروتوكول اتصالات مستخدم على نطاق واسع تم اختراعه في عام 1979. غالبًا ما يُستخدم Modbus في البيئات الصناعية، مثل تلك الموجودة في أوكرانيا، والتي هاجمتها FrostyGoop في يناير.
وقام مركز حالة الأمن السيبراني (CSSC)، وهو الوكالة الحكومية المسؤولة عن الأمن الرقمي في البلاد، بمشاركة المعلومات حول الهجوم مع Dragos بعد اكتشاف البرنامج الضار في أبريل من هذا العام، بعد أشهر من الهجوم. وتتفاعل التعليمات البرمجية الخبيثة، المكتوبة بلغة Golang (لغة البرمجة Go التي طورتها شركة Google)، مباشرة مع أنظمة التحكم الصناعية عبر منفذ إنترنت مفتوح (502).
من المحتمل أن المهاجمين تمكنوا من الوصول إلى شبكة لفيف الصناعية في أبريل 2023. وللقيام بذلك، يقول دراغوس إنهم “استغلوا ثغرة أمنية غير محددة في جهاز توجيه Mikrotik ذو واجهة خارجية”. ثم قاموا بتثبيت أداة الوصول عن بعد التي ألغت الحاجة إلى تثبيت البرامج الضارة محليًا، وبالتالي تجنب اكتشافها.
قام المهاجمون بخفض مستوى البرامج الثابتة لوحدة التحكم إلى إصدار لا يحتوي على ميزات مراقبة، مما يساعدهم على تغطية مساراتهم. وبدلاً من محاولة تدمير الأنظمة بالكامل، خدع المتسللون وحدات التحكم للإبلاغ عن قياسات غير دقيقة، مما أدى إلى فقدان الحرارة في حالات التجمد العميق.
وقد حافظ دراغوس منذ فترة طويلة على سياسة الحياد عندما يتعلق الأمر بالهجمات الإلكترونية، مفضلا التركيز على التعليم دون إلقاء اللوم. ومع ذلك، تم اكتشاف أن المهاجمين فتحوا اتصالات آمنة (باستخدام بروتوكول نفق الطبقة الثانية) إلى عناوين IP في موسكو.
قال مارك “ماغبي” جراهام، الباحث في دراغوس، لـ TechCrunch: “أعتقد أن هذا إلى حد كبير جهد نفسي تم تمكينه بوسائل إلكترونية عندما لم تكن الحركية هي الخيار الأفضل هنا”. وتقع مدينة لفيف في الجزء الغربي من أوكرانيا، وهو ما يصعب على روسيا مهاجمتها مقارنة بالمدن الشرقية.
ويحذر دراجوس من أنه نظرًا لانتشار بروتوكول Modbus في البيئات الصناعية، فمن الممكن استخدام FrostyGoop لتعطيل الأنظمة المماثلة حول العالم. توصي شركة الأمن بالمراقبة المستمرة وتلاحظ أن FrostyGoop قد تهرب من اكتشاف الفيروسات، مما يسلط الضوء على الحاجة إلى مراقبة الشبكة لاكتشاف التهديدات المستقبلية قبل حدوثها. وعلى وجه الخصوص، يوصي دراغوس بأن يستخدم مشغلو أنظمة التحكم الصناعية (ICS) أدوات التحكم الحرجة SANS 5 للحصول على أفضل تكنولوجيا تشغيلية للأمن السيبراني في فئتها، وهو إطار عمل أمني للبيئات التشغيلية.
