رایانههای [1]ICS (سیستم کنترل صنعتی)، همیشه اهداف جذابی برای هکرها بودهاند و چشم انداز تهدیدات سیستم های اتوماسیون صنعتی از آن دسته موضوعاتی است که نباید در حوزه سایبری از آن غافل شد.
نتایج مطالعات و آمارهای شرکت روسی کسپرسکی نشان میدهند که درصد رایانههای ICS که آبجکتهای مخرب بر روی آنها مسدود شدهاند در سه ماهه اول سال 2024، تقریبا ۰.۳درصد نسبت به سه ماهه قبل کاهش یافته و به ۲۴.۴ درصد رسیده است.
صنایع منتخب
شمار رایانههای ICS که آبجکتهای مخرب بر روی آنها مسدود شدهاند در صنایعی همچون ساخت و ساز، انرژی، تولید، سیستمهای کنترل صنعتی و مهندسی و نفت و گاز در سه ماهه اول سال 2024، کاهش یافته است.
تنوع بدافزارهای شناسایی شده
راهحلهای حفاظتی و امنیتی کسپرسکی در سه ماهه اول سال 2024، تعداد ۱۰,۸۶۵ خانواده بدافزار از دستههای گوناگون را در سیستمهای اتوماسیون صنعتی شناسایی و مسدود کردهاند.
رایانههای ICS در این دوره، شاهد افزایش قابل توجهی (۱.۱۶ برابری) در آبجکتهای مخرب مسدود شده در نرم افزار اتوکد حاوی بدافزار بودند.
منابع اصلی تهدید
اینترنت، کلاینتهای ایمیل و دستگاههای ذخیرهساز انتقال پذیر، منابع اصلی تهدیدات رایانهای در زیرساختهای فناوری عملیاتی سازمانها به شمار میآیند. درصد رایانههای ICS که تهدیدات بدافزاری بر روی آنها مسدود شده شدهاند در سه ماهه اول سال 2024، در هر سه منبع اصلی کاهش یافته است.
مناطق جغرافیایی
درصد رایانههای ICS که آبجکتهای مخرب در این دوره زمانی (سه ماهه اول ۲۰۲۴) بر روی آنها مسدود شده است، از 32.4 درصد در آفریقا تا 11.5 درصد در شمال اروپا متغیر میباشد. آفریقا و آسیای جنوب شرقی، مناطقی هستند که بالاترین درصد کامپیوترهای ICS مورد حمله را هم در سه ماهه اول ۲۰۲۴ و هم در سه ماهه آخر ۲۰۲۳ تجربه کردهاند.
آبجکتهای مخرب مورد استفاده برای نفوذ اولیه
نفوذ اولیه به رایانههای ICS اغلب از طریق منابع اینترنتی مانند Denylist (که قبلاً به عنوان لیست سیاه شناخته میشد، لیستی از سایتها، برنامهها یا سایر عناصری است که امکان بازدید یا اجرای آنها وجود ندارد)، اسکریپت های مخرب، صفحات فیشینگ و اسناد آلوده به بدافزار صورت میگیرد.
این آبجکتهای مخرب میتوانند به راحتی توزیع شوند و از سوی دیگر اغلب آنها توسط راه حلهای امنیتی شناسایی و مسدود میشوند.
منابع اینترنتی که در دستههای Denylist ، اسکریپتهای مخرب و صفحات فیشینگ قرار دارند، غالبا رتبه اول را در نفوذ به رایانههای ICS به خود اختصاص دادهاند. اینترنت و ایمیل، منابع اصلی انتقال آبجکتهای مخرب برای نفوذ اولیه هستند. مناطقی که بیشترین تهدیدات ناشی از این منابع را در رایانههای ICS خود تجربه کردهاند، به شرح زیر میباشند:
تهدیدات اینترنتی:
آفریقا – ۱۴.۸۲%
آسیای جنوب شرقی – ۱۴.۰۱%
تهدیدات ایمیل:
اروپای جنوبی – ۶.۸۵%
آمریکای لاتین – ۵.۰۹%
منابع اینترنتی Denylist :
مناطقی که بیشترین Denylistها بر روی رایانههای ICS آنها مسدود شده است عبارتند از:
آفریقا – ۸.۷۸%
روسیه – ۷.۴۹%
جنوب آسیا – ۷.۴۸%
اسکریپت های مخرب و صفحات فیشینگ:
مناطقی که بیشترین اسکریپتهای مخرب و صفحات فیشینگ بر روی رایانههای ICS آنها مسدود شده است عبارتند از:
آمریکای لاتین – ۷.۲۳%
اروپای جنوبی – ۶.۹۶%
خاورمیانه – ۶.۹۵%
اسناد مخرب:
مناطقی که بیشترین اسناد مخرب بر روی رایانههای ICS آنها مسدود شده است عبارتند از:
اروپای جنوبی – ۳.۲۴%
آمریکای لاتین – ۲.۹۴%
اروپای شرقی – ۲.۳۳%
بدافزار مرحله بعدی:
آبجکتهای مخربی که برای نفوذ اولیه به رایانهها استفاده میشوند، بدافزارهای دیگری همچون جاسوس افزارها، باج افزارها و ماینرها را به سیستم قربانی تحویل میدهند. مهاجمان سایبری، ماینرهای ویندوز را به صورت فایلهای نصب کننده NSIS به همراه نرم افزار قانونی توزیع میکنند.
- نرم افزارهای جاسوسی
سه منطقه که بیشترین نرم افزارهای جاسوسی بر روی کامپیوترهای ICS آنها مسدود شدهاند، عبارتند از:
آفریقا – ۶.۶۵%
خاورمیانه – ۵.۸۹%
اروپای جنوبی – ۵.۴۵%
- ماینرها در قالب فایلهای اجرایی ویندوز
مناطقی که بیشترین ماینرهای ارز دیجیتال در قالب فایلهای اجرایی ویندوز بر روی رایانههای ICS آنها مسدود شده است، عبارتند از:
آسیای مرکزی – ۱.۷۸%
روسیه – ۱.۳۸%
اروپای شرقی – ۱.۰۶%
چنین ماینرهایی دارای رتبه هفتم جهانی در رده تهدیدات سایبری علیه رایانههای ICS هستند. میبایست توجه داشت که درصد رایانههای ICS که این ماینرها (در قالب فایلهای اجرایی ویندوز) بر روی آنها مسدود شدهاند، در سه ماهه اول سال 2024 در تمام مناطق به جز روسیه و آسیای مرکزی افزایش یافته است.
- ماینرهای وب در حال اجرا بر روی مرورگرها
مناطقی که بیشترین ماینرهای وب مبتنی بر مرورگر بر روی رایانههای ICS آنها مسدود شده است، عبارتند از:
آفریقا – ۰.۹۱%
خاورمیانه – ۰.۸۴%
استرالیا و نیوزلند – ۰.۷۸%
درصد رایانههای ICS در سه ماهه اول 2024، که این ماینرها بر روی آنها مسدود شدهاند، در همه مناطق به جز روسیه و آسیای مرکزی افزایش یافته است.
- باج افزار
مناطقی که رایانههای ICS آن، بیشترین تهدیدات باج افزاری را مسدود کردهاند، عبارتند از:
خاورمیانه – ۰.۲۸%
آفریقا – ۰.۲۷%
جنوب آسیا – ۰.۲۲%
- بدافزارهای خود انتشار مانند کرم ها و ویروس ها
کرمها و فایلهای آلوده به ویروس در ابتدا برای نفوذ به سیستم قربانی مورد استفاده قرار میگیرند اما با تکامل عملکرد بات نتها، این ها نیز ویژگی بدافزار مرحله بعدی را به خود خواهند گرفت.
ویروسها و کرمها برای انتشار در شبکههای ICS به رسانههای انتقال پذیر، فولدرهای شبکه، فایلهای آلوده از جمله فایلهای بک آپ و حمله به نرمافزارهای قدیمی وابسته هستند. بیشترین مناطقی که رسانههای انتقال پذیر آنها درگیر چنین تهدیداتی بودهاند، عبارتند از:
آفریقا – ۵.۶%
جنوب آسیا – ۲.۴۶%
آسیای مرکزی – ۱.۵۱%
- کرم های رایانهای
بیشترین مناطقی که کرمهای رایانهای بر روی کامپیوترهای ICS آنها مسدود شدهاند، عبارتند از:
آفریقا – ۵.۲۹%
آسیای مرکزی – ۲.۸۸%
خاورمیانه – ۲.۴۰%
کرمها در این رتبه بندی در سطح جهانی، جایگاه ششم را دارند، اما در در رتبه بندی منطقهای مشابه، در چهار منطقه زیر در جایگاه چهارم قرار دارند:
آفریقا – ۵.۲۹%
آسیای مرکزی – ۲.۸۸%
خاورمیانه – ۲.۴۰%
جنوب آسیا – ۱.۹۵%
- ویروس ها
بیشترین مناطقی که ویروسها بر روی رایانههای ICS آنها مسدود شدهاند، عبارتند از:
آسیای جنوب شرقی – ۷.۶۱%
آفریقا – ۴.۰۹%
آسیای شرقی – ۲.۸۹%
- بدافزار اتوکد
بدافزار اتوکد میتواند به روشهای مختلفی منتشر شود. از این رو، در یک دسته بندی جداگانه قرار میگیرد. مناطقی که در رتبهبندی ویروسها پیشرو بودند، در این مورد نیز پیشتاز هستند:
آسیای جنوب شرقی – ۲.۸۱%
آسیای شرقی – ۱.۴۹%
آفریقا – ۰.۶۱%
گزارش های کامل جهانی و منطقهای تهدیدات سیستمهای اتوماسیون صنعتی در سه ماهه اول 2024، در وب سایت ICS CERT کسپرسکی منتشر شده است.
[1] Industrial control system
