أخبار التقنية

مكتشف: CosmicEnergy ، برامج ضارة تتسبب في اضطرابات الطاقة على غرار الكرملين


GettyImages

كشف باحثون عن برامج ضارة مصممة لتعطيل نقل الطاقة الكهربائية وربما استخدمتها الحكومة الروسية في تدريبات لإنشاء هجمات إلكترونية على الشبكات الكهربائية أو الرد عليها.

تُعرف البرامج الضارة باسم CosmicEnergy ، وتتمتع بإمكانيات مماثلة لتلك الموجودة في البرامج الضارة المعروفة باسم Industroyer و Industroyer2 ، وكلاهما ينسبه الباحثون على نطاق واسع إلى Sandworm ، وهو اسم إحدى مجموعات القرصنة الأكثر مهارة وحماسة في الكرملين. نشرت Sandworm Industroyer في ديسمبر 2016 لإحداث انقطاع في التيار الكهربائي في كييف ، أوكرانيا ، مما ترك مساحة كبيرة من المدينة بدون كهرباء لمدة ساعة. وقع الهجوم بعد عام تقريبا من هجوم سابق عطّل قوة 225 ألف أوكراني لمدة ست ساعات. ظهر Industroyer2 في العام الماضي ويعتقد أنه تم استخدامه في هجوم ثالث على شبكات الكهرباء في أوكرانيا ، ولكن تم اكتشافه وإيقافه قبل أن ينجح.

أظهرت الهجمات ضعف البنية التحتية للطاقة الكهربائية ومهارات روسيا المتزايدة في استغلالها. استخدم الهجوم في عام 2015 برامج ضارة معاد استخدامها تعرف باسم BlackEnergy. بينما سمح برنامج BlackEnergy3 الناتج لـ Sandworm باختراق شبكات الشركات لشركات الطاقة الأوكرانية ومزيد من التعدي على التحكم الإشرافي وأنظمة الحصول على البيانات ، لم يكن لدى البرنامج الضار وسيلة للتفاعل مع معدات التكنولوجيا التشغيلية مباشرة.

كان هجوم 2016 أكثر تعقيدًا. استخدمت Industroyer ، وهي قطعة من البرامج الضارة المكتوبة من الصفر مصممة لاختراق أنظمة الشبكة الكهربائية. اشتهرت شركة Industroyer بإتقانها للعمليات الصناعية الغامضة التي يستخدمها مشغلو الشبكات في أوكرانيا. تواصل Industroyer أصلاً مع تلك الأنظمة لإرشادهم إلى إلغاء تنشيط خطوط المحطات الفرعية ثم إعادة تنشيطها. كما أفاد مراسل WIRED آندي جرينبيرج:

كان Industroyer قادرًا على إرسال أوامر إلى قواطع الدوائر باستخدام أي من بروتوكولات نظام التحكم الصناعي الأربعة ، وقد سمح بتبديل المكونات المعيارية للتعليمات البرمجية لتلك البروتوكولات بحيث يمكن إعادة نشر البرامج الضارة لاستهداف أدوات مساعدة مختلفة. تضمنت البرامج الضارة أيضًا مكونًا لتعطيل أجهزة الأمان المعروفة باسم المرحلات الواقية – والتي تقطع تلقائيًا تدفق الطاقة إذا اكتشفت ظروفًا كهربائية خطيرة – وهي ميزة بدت مصممة للتسبب في أضرار مادية كارثية محتملة لمعدات محطة الإرسال المستهدفة عند مشغلي Ukrenergo أعاد تشغيل الطاقة.

يحتوي Industroyer2 على تحديثات لـ Industroyer. في حين أنه فشل في النهاية ، فإن استخدامه في محاولة هجوم ثالثة يشير إلى أن طموحات الكرملين لاختراق البنية التحتية للطاقة الكهربائية الأوكرانية لا تزال على رأس الأولويات.

بالنظر إلى التاريخ ، فإن اكتشاف البرامج الضارة الجديدة المصممة للتسبب في انقطاع التيار الكهربائي على نطاق واسع هو مصدر قلق واهتمام للأشخاص المكلفين بالدفاع عن الشبكات. يزداد القلق أكثر عندما يكون للبرامج الضارة روابط محتملة بالكرملين.

كتب باحثون من Mandiant ، شركة الأمن التي أسست CosmicEnergy:

COSMICENERGY هو أحدث مثال على برامج OT الضارة المتخصصة القادرة على التسبب في تأثيرات فيزيائية على الإنترنت ، والتي نادرًا ما يتم اكتشافها أو الكشف عنها. ما يجعل COSMICENERGY فريدًا هو أنه استنادًا إلى تحليلنا ، ربما طوره المقاول كأداة فرق حمراء لمحاكاة تمارين انقطاع الطاقة التي تستضيفها شركة Rostelecom-Solar ، وهي شركة أمن إلكتروني روسية. يكشف تحليل البرامج الضارة ووظائفها أن قدراتها قابلة للمقارنة مع تلك المستخدمة في الحوادث السابقة والبرامج الضارة ، مثل صناعة و صناعي. V2تم نشرهما في الماضي للتأثير على نقل الكهرباء وتوزيعها عبر IEC-104.

يوضح اكتشاف COSMICENERGY أن الحواجز التي تحول دون الدخول لتطوير قدرات العمليات الهجومية الهجومية آخذة في الانخفاض مع استفادة الجهات الفاعلة من المعرفة من الهجمات السابقة لتطوير برامج ضارة جديدة. بالنظر إلى أن الجهات الفاعلة في مجال التهديد تستخدم أدوات الفريق الأحمر وأطر الاستغلال العام لنشاط التهديد المستهدف في البرية ، نعتقد أن COSMICENERGY تشكل تهديدًا معقولاً لأصول الشبكة الكهربائية المتأثرة. يجب على مالكي أصول OT الذين يستفيدون من الأجهزة المتوافقة مع IEC-104 اتخاذ إجراءات لاستباق الإمكانات في النشر الجامح لـ COSMICENERGY.

في الوقت الحالي ، الرابط ظاهري ويقتصر بشكل أساسي على تعليق موجود في الكود يشير إلى أنه يعمل مع برنامج مصمم للتدريبات التي يرعاها الكرملين. تمشيا مع النظرية القائلة بأن CosmicEnergy تُستخدم في ما يسمى بتمارين الفريق الأحمر التي تحاكي الاختراقات العدائية ، تفتقر البرامج الضارة إلى القدرة على الاختراق في شبكة للحصول على معلومات البيئة التي ستكون ضرورية لتنفيذ هجوم. تتضمن البرامج الضارة عناوين كائنات المعلومات المشفرة المرتبطة عادةً بمفاتيح خطوط الطاقة أو قواطع الدائرة ، ولكن يجب تخصيص هذه التعيينات لهجوم معين نظرًا لأنها تختلف من مصنع لآخر.

كتب باحثو مانديانت: “لهذا السبب ، فإن الإجراءات المعينة التي يقصدها الممثل غير واضحة دون مزيد من المعرفة حول الأصول المستهدفة”.

مقالات ذات صلة

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى