حملات گسترده زنجیره‌ای بدافزارهای جاسوسی به کامپیوترهای صنعتی در سراسر جهان

از بیستم ژانویه تا ۱۰ نوامبر ۲۰۲۱ متخصصین کسپرسکی موفق به پرده‌برداری از بدافزار جدیدی شدند که بیش از ۳۵۰۰۰ کامپیوتر را در ۱۹۵ کشور جهان مورد هدف قرار داده بود. این بدافزار جدید که به دلیل شباهت‌هایش با بدافزار Lazarus’s Manuscrypt، «PseudoManuscrypt» نامیده می‌شود، علاوه بر  سازمان‌های دولتی، سیستم‌های کنترل صنعتی (ICS) را در صنایع متعدد هدف قرار داده بود.

سازمان‌های صنعتی جزو اهداف پرطرفدار در بین مجرمان سایبری هستند، سال ۲۰۲۱ شاهد علاقه قابل‌توجهی به سازمان‌های صنعتی از سوی گروه‌های معروف APT مانند Lazarus و APT41 بود. دو انگیزه اصلی این حملات باج‌خواهی و سرقت اطلاعات است.

در حین بررسی رشته دیگری از حملات، کارشناسان کسپرسکی یک بدافزار جدید با شباهت‌هایی به «Manuscrypt» لازاروس، بدافزار سفارشی مورداستفاده در کمپین ThreatNeedle این گروه علیه صنایع دفاعی، کشف کردند. ازاین‌رو، آن‌ها آن را PseudoManuscrypt نامیدند.

از ۲۰ ژانویه تا ۱۰ نوامبر ۲۰۲۱، محصولات کسپرسکی PseudoManuscrypt را در بیش از ۳۵۰۰۰ رایانه در ۱۹۵ کشور مسدود کردند. بسیاری از اهداف سازمان‌های صنعتی و دولتی ازجمله شرکت‌های نظامی-صنعتی و آزمایشگاه‌های تحقیقاتی بودند.

۷٫۲ درصد از رایانه‌های موردحمله بخشی از سامانه‌های کنترل صنعتی (ICS) بودند. که دراین‌بین واحدهای مهندسی و خودکارسازی بیشترین آسیب‌دیدگی را در صنایع داشتند.

 مراحل نفوذ PseudoManuscrypt

PseudoManuscrypt در ابتدا از طریق بایگانی نصب نرم‌افزار کرک شده جعلی، که برخی از آن‌ها ویژه ICS هستند، در سیستم‌های هدف دانلود می‌شود.

به‌احتمال‌زیاد این نصب کننده‌های جعلی که به‌عنوان نرم‌افزار کپی دانلود شده‌اند. از طریق پلتفرم Malware-as-a-Service (MaaS) ارائه می‌شوند. عجیب است، در برخی موارد، PseudoManuscrypt  از طریق بات نت بدنام Glupteba نصب‌شده است.

پس از آلودگی اولیه، یک زنجیره پیچیده از آلودگی‌ها آغاز می‌شود. که درنهایت ماژول مخرب اصلی را دانلود می‌کند. کارشناسان کسپرسکی دو نوع از این ماژول را شناسایی کرده‌اند.

هر دو این ماژول‌ها  به قابلیت‌های جاسوس‌افزار پیشرفته مجهز هستند، کپی کردن داده‌ها از کلیپ بورد، سرقت داده‌های احراز هویت احتمالاً و داده‌های اتصال، کپی کردن تصاویر صفحه و غیره.

حمله‌ها هیچ اولویت‌بندی به صنعت مشخصی را نشان نمی‌دادند، اگرچه بیشتر کامپیوترهای موردحمله واقع‌شده متعلق به مهندسینی بوده که از ابزارهای مدل‌سازی حجمی و سه‌بعدی استفاده می‌نمودند. به همین دلیل برداشت می‌شود جاسوسی صنعتی یکی از انگیزه‌های اصلی حملات باشد.

جای تعجب دارد، برخی از قربانیان این بدافزار با قربانیان کمپین لازاروس ICS CERT روابط مشترک دارند و داده‌ها از طریق یک پروتکل نادر با استفاده از کتابخانه‌ای که قبلاً فقط با بدافزار APT41 استفاده می‌شد، به سرور مهاجمان ارسال می‌شود.

بااین‌وجود، با توجه به تعداد زیاد قربانیان و عدم تمرکز ، کسپرسکی مشخصاً این کمپین را به Lazarus یا هیچ عامل تهدید APT مرتبط نمی‌داند.

این‌یک حمله نامرسوم به‌حساب می‌آید و ما هنوز در حال کنار هم گذاشتن سرنخ‌های آن هستیم اگرچه یک موضوع واضح است این حمله‌ای است که  متخصصان باید به آن خیلی توجه کنند.

به گفته یکی از متخصصین امنیت در کسپرسکی این بدافزار موفق به ورود به هزاران کامپیوتر ICS مشتمل بر سازمان‌های سطح بالا شده است. ما به تحقیقات خود ادامه داده و جامعه امنیت سایبری را از یافته‌های جدید مطلع خواهیم نمود.

پیشنهاد‌های کسپرسکی به سازمان‌ها برای در امان ماندن از PseudoManuscrypt

• نرم‌افزارهای امنیت‌اند پوینت را روی همه سرورها و ایستگاه‌ها نصب نمایید
• مطمئن شوید که تمام کامپوننت های اندپوینت روی تمام سیستم‌ها فعال و پالیسی ورود رمز عبور اجباری حین اعمال تغییرات فعال باشد
• اطمینان حاصل کنید که پالیسی های Active Directory شامل محدودیت دسترسی برای تلاش‌های ورود کاربران می‌شود، کاربران فقط می‌توانند به کامپیوترهایی ورود کنند که برای انجام وظایف به آن نیاز دارند.
• دسترسی به شبکه‌های داخلی را محدود و تمام پورت‌های اتصال ورودی غیرضروری را مسدود نمایید
• از توکن و یا رمزهای یک‌بارمصرف به‌عنوان احراز هویت ثانویه استفاده نمایید در صورت مکان از فناوری لیست کنترل دسترسی (ACL) برای محدود نمودن لیست IP address ها در شبکه استفاده نمایید.
• به کارکنان خود در مورداستفاده ایمن از اینترنت و ایمیل با کامپیوترهای شرکتی آموزش دهید و آن‌ها را از عواقب احتمالی دانلود از منابع تأیید نشده آگاه سازید.
• از حساب ادمین و دامین ادمین تنها درزمانی که برای انجام فعالیت‌های شغلی موردنیاز است استفاده کنید.
• حفاظت صنعتی کسپرسکی از اندپوینت های صنعتی محافظت می‌کند و فناوری‌های عملیاتی را تحت نظارت قرار داده و در صورت شناسایی هر نوع فعالیت مشکوک و آسیب‌زا به‌سرعت آن را مسدود می‌نماید.

درباره ICS CERT

تیم  مراقبت و پاسخ فوری به تهدیدات صنعتی یک پروژه جهانی است که در سال ۲۰۱۶ توسط کسپرسکی برای حمایت از فعالیت‌های تأمین‌کنندگان خودکارسازی صنعتی مالکین و کاربران زیرساخت‌های صنعتی و محققین امنیت سایبری در جهت حفاظت از سازمان صنعتی از حملات سایبری ایجاد شد.

کسپرسکی ICS CERTتوجه خود را معطوف به شناسایی تهدیدات بالقوه و موجود در اتوماسیون‌های صنعتی و اینترنت اشیا معطوف داشته است. این شرکت یکی از اعضای فعال و مشارکت‌کننده در یک سازمان جهانی است که توصیه های حفاظت سایبری صنعتی را منتشر می‌کنند.