پیش بینی تهدیدات ICS و OT برای سال ۲۰۲۴

ما انتظار تغییرات سریع در چشم‌انداز تهدیدات سایبری صنعتی همچون تهدیدات ICS و OT را در سال ۲۰۲۴ نخواهیم داشت. بسیاری از روندهای شرح داده شده در این مقاله که به استناد از اطلاعات منتشر شده از سوی کسپرسکی می‌باشد، پیش‌تر و برخی از آنها به مدت چندین سال مشاهده شده‌اند. با این حال، برخی از آنها می‌توانند منجر به تغییرات بحرانی شوند و چشم انداز تهدید را در سال جدید به چالش بکشند.

باج افزار

• باج افزارها، به عنوان اصلی‌ترین تهدید سایبری برای شرکت‌‌های صنعتی در سال ۲۰۲۴ باقی خواهند ماند. حملات باج‌افزاری در سال ۲۰۲۳، جایگاه خود را در صدر رتبه‌بندی تهدیدات امنیت اطلاعات برای شرکت‌های صنعتی تثبیت کردند. همانطور که از بیانیه‌های رسمی سازمان‌های متاثر از رخدادهای سایبری در نیمه اول ۲۰۲۳ مشاهده می‌شود، حداقل یک حمله از هر شش باج افزار باعث توقف در مرحله تولید یا تحویل محصول شده است. در برخی موارد خسارات این حملات، صدها میلیون دلار برآورد شده است. در حال حاضر، به نظر می‌رسد هیچ دلیلی وجود ندارد که احتمال دهیم این تهدید در آینده نزدیک کاهش خواهد یافت.

• حملات باج افزاری به سازمان‌های بزرگ، تامین کنندگان محصولات منحصر به فرد (تجهیزات، مواد)، یا شرکت‌های بزرگ لجستیکی و حمل و نقل می‌تواند عواقب اقتصادی و اجتماعی شدیدی به دنبال داشته باشند.

طبق شواهد، کمتر از ۱۸ درصد از حملات باج‌افزارها به شرکت‌های صنعتی منجر به اختلال در تولید و/یا تحویل محصول می‌شود. علاوه بر این، مجرمان سایبری به وضوح در انتخاب قربانیان خود “بازارهای بالا و پرمخاطب” را هدف قرار داده و ترجیح می‌دهند سازمان‌های بزرگی را هدف قرار دهند که قادر به پرداخت باج قابل توجه هستند.

این، وضعیتی را ایجاد می‌کند که در آن، پیامد حملات مهاجمان به زیرساخت شرایطی را ایجاد خواهد کرد که فراتر از آن چیزی است که تصور می‌کردند، مانند حمله سایبری به خط لوله کولونیال و یا حمله اخیر به DP World، پایانه بین‌المللی کانتینری مستقر در دبی و اپراتور زنجیره تامین که کار در بنادر ملبورن، سیدنی، بریزبن و فریمانتل را متوقف کرد و مانع از تحویل حدود ۳۰,۰۰۰ کانتینر گردید.

• بازار باج افزارها به سمت اوج پیش می‌رود که ممکن است با افت یا رکود همراه باشد. بعید به نظر می‌رسد، قربانیان احتمالی به این زودی‌ها از حملات مصون بمانند. با این حال، آنها می‌توانند بیاموزند که تأثیر حملات و سوء قصدها را به طور مؤثرتری کاهش دهند (به عنوان مثال، از طریق ایمن سازی بهتر داده‌های محرمانه، پشتیبان گیری مناسب و طرح‌های پاسخ به رخداد).

اگر این رویکرد، منجر به پرداخت کمتر باج توسط قربانیان شود، آنگاه مجرمان سایبری به انواع جدیدی از اهداف و طرح‌ها برای کسب درآمد از حملات روی خواهند آورد. راه‌های بالقوه توسعه:

۱. حمله به شرکت‌های لجستیک و حمل‌ونقل ممکن است بجای زیرساخت‌های فناوری اطلاعات، خود ماشین‌ها (خودروها، کشتی‌ها) را مورد هدف قرار دهد. در نگاه اول، به نظر می‌رسد تنوع زیاد وسایل نقلیه در ناوگان‌ها مانع اجرای چنین حمله‌ای می‌شود و تا حد زیادی بر هزینه‌های توسعه مهاجمان می‌افزاید. با این حال، این حمله می‌تواند به جای یک مالک یا اپراتور خاص، چندین وسیله نقلیه از یک نوع خاص را هدف قرار دهد که دارای سیستم‌های کنترل داخلی یکسان یا مشابه هستند.

عامل دیگری که حمله را تسهیل می‌سازد این است که مالکان و اپراتورهای ناوگان، خودروها را به سیستم‌های جمع آوری تله متری سفارشی خود مجهز می‌کنند که اغلب به طور پیش فرض دارای قابلیت کنترل از راه دور هستند (به عنوان مثال برای فلش مجدد از راه دور سیستم عامل یا تغییر مجموعه داده‌های جمع آوری شده). سازندگان خودرو و ارائه دهندگان خدمات گاهی اوقات همین کار را انجام می‌دهند. در نتیجه این بردار حمله، امکان پذیر خواهد شد.

در صورت وقوع چنین حمله‌ای، قربانی نمی‌تواند به تنهایی عملیات را بدون متحمل شدن هزینه‌، بازگرداند. بازیابی عملکرد سیستم‌های فناوری اطلاعات رمزگذاری ‌شده (مثلاً از بک آپ) بسیار ساده‌تر از حل کردن یک مشکل فنی ساده است که بر وسایل نقلیه پراکنده در یک منطقه گسترده تأثیر می‌گذارد (مثلاً حذف بدافزارهایی که از روشن شدن موتور کامیون جلوگیری می‌کنند یا برق داخل کشتی را قطع می‌کنند). شرکت‌ها ممکن است نتوانند به‌موقع و بدون ضرر مالی غیرقابل قبول، عملیات را به حالت عادی بازگردانند.

۲. همین بُردار حمله به طور یکسان در مورد صاحبان و اپراتورهای تجهیزات تخصصی مختلف که در مکان‌های دور از دسترس، مانند معدن یا کشاورزی، کار می‌کنند، صدق خواهد کرد.

۳. مشکل امنیت سایبری چندین سایت که به سختی در ‌دسترس هستند نیز برای شرکت‌های نفت و گاز، شرکت‌های خدمات عمومی و به طور کلی، هر سازمانی با زیرساخت OT بسیار توزیع شده مرتبط است. حمله به یک سایت دور از دسترس که امکان بازیابی از راه دور را ندارد (به عنوان مثال، به دلیل مسدود شدن کانال دسترسی از راه دور متداول توسط بدافزار)، پرداخت باج را تضمین می‌کند.

روش‌های غیر متعارف حملات سایبری برای کسب درآمد (به عنوان مثال، از طریق سفته‌بازی بازار سهام) به شرکت‌های مهم اقتصادی همچون سازمان‌های حمل‌ونقل و لجستیک بزرگ، شرکت‌های بزرگ معدن، تولیدکنندگان و تامین‌کنندگان مواد (مانند فلزات، آلیاژها یا کامپوزیت‌ها)، محصولات کشاورزی و غذایی، تامین کنندگان محصولات منحصر به فرد/در تقاضا که به سختی می‌توان به سرعت کمبود آنها را پوشش داد (مانند ریزتراشه‌ها یا کودها) می تواند به طور قابل توجهی بر قیمت بازار آنها تأثیر بگذارد. علاوه بر پیامدهای مستقیم، ممکن است واکنش های زنجیره ای و عوارض جانبی غیرمستقیم وجود داشته باشد.

هکتیویست‌‌ها

• هکتیویسم با انگیزه سیاسی در امتداد خطوط گسل‌های ژئوپلیتیکی، دندان‌های تیزتر و پیامدهای مخرب‌تری خواهد داشت.

حملات هکتیویست ها به راه آهن و پمپ بنزین ایران در سال ۲۰۲۱ را به یاد داریم که گروه هکری طرفدار اسرائیل مسئولیت آن را بر عهده گرفت، زمانی در تیتر خبرها قرار گرفت و ما شاهد موارد بسیار بیشتری در سال گذشته بودیم: حمله سیستم های آبیاری در اسرائیل، حملات به راه حل های Unitronics Vision یکپارچه (PLC با HMI یکپارچه) ساخت اسرائیل که قربانیان خود را در ایالات متحده و ایرلند به دنبال داشت و یک حمله دیگر به پمپ بنزین‌های ایران در سال ۲۰۲۳. از تأثیر روابط عمومی که بگذریم، مقیاس واقعی پیامدهای منفی در همه این موارد بسیار کم بود.

گفته می‌شود، حملات هکتیویستی اخیر توانایی دسترسی به سیستم‌های OT را نشان داده‌اند. تشدید تنش‌ها ممکن است حملات هکتیویستی با انگیزه سیاسی را به سطح تهدید کاملاً جدیدی برساند.

• علاوه بر جنبش‌های اعتراضی در داخل کشورها در مقابل پس‌زمینه تنش‌های اجتماعی فزاینده (ناشی از درگیری‌های مذهبی و قومی و بی‌ثباتی اقتصادی فزاینده در بسیاری از مناطق کره زمین)، شاهد رشد فزاینده هکتیویسم اعتراضی جهان‌سیاسی خواهیم بود.
• افزایش کلی هکتیویسم در سراسر جهان، افراد و گروه‌های بیشتری را تشویق می‌کند تا مبارزه خود را برای «هر چیزی»، حتی «فقط برای سرگرمی» آغاز کنند، مشابه حمله به آزمایشگاه ملی آیداهو توسط گروه هکری SiegedSec در سال جاری.

حرکت از منطقه خاکستری به سمت سایه‌ها

استفاده گسترده از “امنیت سایبری تهاجمی” برای جمع آوری اطلاعات تهدیدات سایبری، پیامدهای مثبت و منفی خواهد داشت.

ما از یک سو، شاهد بهبود در وضعیت امنیت شرکت‌ها خواهیم بود، زیرا اطلاعات تهاجمی تهدیدات سایبری از زیرساخت‌های کنترل شده توسط مهاجم به کاربر نشانه‌هایی از نفوذ بالقوه می‌دهد تا امنیت سیستم را سریعتر و کارآمدتر بازیابی کند.

از سوی دیگر، توسعه اطلاعات سایبری تهاجمی با تبدیل شدن به هنجار جدید (البته به طور رسمی قانونی نشده، اما با رضایت ضمنی دولت ها اعمال می شود)، نیز پیامدهای منفی برای مرز بین منطقه خاکستری و سایه‌ها که ممکن است بسیار باریک باشد، به همراه خواهد داشت.

به دنبال ایالت‌ها، برخی از شرکت‌های تجاری ممکن است تلاش کنند و از کمک ارائه‌دهندگان خدمات و راه‌حل‌های اطلاعاتی تهاجمی تجاری، از جمله برای اهداف امنیت سایبری، بهره‌مند شوند و برخی شرکت‌های صنعتی نیز ممکن است در این بازی حضور داشته باشند. این ممکن است به ویژه در مورد اکوسیستم های تکامل یافته مانند ساخت و ساز، معدن و انرژی، و سایر بخش‌های صنعتی صدق کند.

این فعالیت‌های سایبری «سود محور»، حتی بیشتر از آنچه در کمپین‌های APT مشاهده می‌کنیم مشخص خواهند شد. کمپین‌ها عمدتاً به ابزارهای تجاری و منبع باز مجهز می‌شوند و در نتیجه، عملیات حتی کمتر از کمپین‌های APT شناسایی و بررسی خواهند شد.

تهدیدات مربوط به لجستیک و حمل و نقل

اتوماسیون و دیجیتالی سازی مداوم و سریع لجستیک و حمل و نقل منجر به موارد زیر خواهد شد:

۱. درهم تنیدگی بیشتر جرایم سایبری و سنتی، به ویژه در زمینه های جنایی قدیمی مانند:

• سرقت خودروها، قابل اجرا برای همه خودروهای مدرن، اما به ویژه مربوط به برندهای آسیایی و مورد انتظار برای برندهای خودروهای جدید به دلیل استراتژی سریع و تهاجمی بازار است که معمولاً بلوغ امنیت سایبری را به عنوان یکی از اولین چیزهایی که باید قربانی شود، در اولویت قرار می‌دهد.
• دزدی دریایی و اختلالات لجستیکی با استفاده از ابزارهای سایبری – به عنوان ادامه منطقی تاکتیک ها و فناوری های حمله شناخته شده، مانند آخرین ضربه زدن به AIS (سیستم های ردیابی خودکار) در دریای سرخ و اقیانوس هند یا حمله به پایانه بندر شهید رجایی ایران در سال ۲۰۲۰.
• سرقت کالا با استفاده از وسایل سایبری.
• قاچاق با ابزارهای سایبری – به عنوان توسعه تاکتیک های مورد استفاده در پرونده بدنام “Ocean’s Thirteen” در بندر آنتورپ.
• سایر تقلب‌های لجستیک و حمل‌ونقل برای مثال، دریافت پول در رابطه با مطالبات بیمه‌ای/ جریمه‌های ابطال، و بسیاری از طرح‌های دیگر، که پیش‌بینی برخی از آنها دشوار است، مانند درهم‌خوردن با DRM به عنوان وسیله‌ای برای رقابت ناعادلانه که اخیراً در لهستان دیدیم.

۲. افزایش احتمال عواقب فیزیکی حملات غیر هدفمند. در حال حاضر موارد شناخته شده ای از آلوده شدن وسایل نقلیه از انواع مختلف به بدافزار وجود دارد. اگر به آینده نزدیک نگاه کنیم، به دلیل پذیرش سیستم‌عامل‌های «سنتی» مانند اندروید و لینوکس در حمل‌ونقل، ادغام گسترده اجزای استاندارد فناوری اطلاعات و پروتکل‌های ارتباطی، و افزایش تعداد موارد استفاده مربوط به اتصال به سرویس‌های ابری، به نظر می رسد چنین عفونت هایی در حال افزایش هستند. این احتمال وجود دارد که برخی ممکن است منجر به خرابی سیستم‌های نظارت و کنترل حیاتی با عواقب غیرقابل پیش‌بینی شوند. مهمتر از همه، خطر مربوط به رودخانه، دریا، کامیون و حمل و نقل اضطراری است – امنیت اطلاعات در چنین وسایل نقلیه ای اغلب پایین تر از خودروهای سواری است.