قطاع الطاقة واقع تحت تهديد برمجيات تعدين العملات الرقمية وبرمجيات التجسّس والبرمجيات الخبيثة القادرة على الاستنساخ ذاتيًا

رصدت حلول كاسبرسكي خلال النصف الأول من العام 2019 مجموعة متنوعة من التهديدات التي تستهدف نظم الرقابة الصناعية في قطاع الطاقة. وكانت التهديدات الثلاثة الأكثر شيوعًا هي البرمجيات الخبيثة المستنسخة ذاتيًا، وبرمجيات التجسّس، وبرمجيات تعدين العملات الرقمية. وشكلت هذه التهديدات ما مجموعه 14% تقريبًا من كل إصابات الحواسيب المستهدفة. وأتت هذه الاكتشافات مع غيرها ضمن تقرير أعدّه فريق الاستجابة لحالات الطوارئ الإلكترونية في نظم الرقابة الصناعية لدى كاسبرسكي، تناول مشهد التهديدات التي تواجه القطاعات الصناعية في النصف الأول من عام 2019.

وتتسم حالات الإصابة الرقمية في القطاعات الصناعية بخطورة كبيرة، نسبة لاحتمالية توقف الإنتاج ووقوع خسائر مالية ملموسة، فضلًا عن صعوبة تخطّيها والتغلب عليها. ويبرز هذا الأمر خصوصًا في القطاعات الأساسية، مثل الطاقة. وقد أظهرت بيانات النصف الأول لعام 2019، التي جرى تحليلها تلقائيا من قبل تقنيات كاسبرسكي الأمنية، أن على المسؤولين عن إدارة حلول الطاقة توخّي الحذر. وخلال الفترة الزمنية التي غطّاها التقرير، تنبّهت منتجات كاسبرسكي في 41.6% من أجهزة نظم الرقابة الصناعية العاملة في شركات بقطاع الطاقة إلى مختلف التهديدات. وجرى في الكثير من هذه الحالات اعتراض برمجيات خبيثة عادية، لم تُصمّم خصيصًا لنظم الرقابة الصناعية.

وشملت البرمجيات الخبيثة التي تمّ اعتراضها ثلاثة أنواع من كبرى التهديدات؛ برمجيات تعدين العملات الرقمية والتي شكلت 2.9% من إجمالي الإصابات، والبرمجيات الخبيثة التي لها القدرة على استنساخ نفسها ذاتيًا (7.1%)، ومجموعة من برمجيات التجسّس (3.7%). وقد تؤدي الإصابة بتلك البرمجيات الخبيثة إلى نتائج سلبية تؤثر في مدى إتاحة نظم الرقابة الصناعية واستقرار عملها، والنظم الأخرى التي تشكل جزءًا أساسيًا من الشبكات الصناعية.

وكان من بين هذه التهديدات المرصودة ما يثير الاهتمام، مثل التروجان AgentTesla، وهو برمجية تجسس مصممة لسرقة بيانات المصادقة على حسابات المستخدمين، ولقطات من الشاشة، وبيانات أخرى عن طريق الكاميرا ولوحة المفاتيح. وأرسل المهاجمون، في جميع الحالات التي تم تحليلها، البيانات عبر حسابات بريد مخترقة تابعة لعدة شركات.

كذلك تمكنت منتجات كاسبرسكي من تحديد حالات لجأت إلى استخدام المنفذ الخلفي Meterpreter للتحكّم بحواسيب نظم الطاقة عن بُعد، ونجحت في إيقافها. وعادة ما تُنفَّذ هجمات المنفذ الخلفي يدويًا، وهي هجمات موجهة تُنفَّذ خِلسة. وتشكل قدرة المهاجمين على التحكم بحواسيب نظم الرقابة الصناعية تهديدًا كبيرًا للنظم الصناعية بأسرها. وقد عثرت برمجيات كاسبرسكي الأمنية حديثًا على برمجية Syswin المستنسخة ذاتيًا والتي تحظى بالقدرة على محو البيانات عن الجهاز المصاب. وكتبت هذه البرمجية بلغة Python وتأتي في تهيئة تنفيذية خاصة بالنظام "ويندوز". قد يتسبب هذا التهديد بضرر ملحوظ في أجهزة نظم الرقابة الصناعية بسبب قابليته للانتشار ذاتيًا وتدمير البيانات.

ولم يكن قطاع الطاقة وحده المستهدف بتلك العمليات والبرمجيات الخبيثة؛ إذ أظهرت تحليلات خبراء كاسبرسكي أن قطاعات أخرى تأثرت أيضًا، مثل صناعة المركبات التي تنبّهت منتجات كاسبرسكي الأمنية في 39.3% من حواسيب نظم الرقابة الصناعية المشتملة على هذه المنتجات في شركات القطاع خلال الفترة ذاتها، علاوة على قطاع أتمتة المباني (37.8%).

وتشمل النتائج الأخرى التي توصلت إليها التحليلات وعرضها التقرير:

• في المتوسط، لا تعمل حواسيب نظم الرقابة الصناعية بالكامل داخل بيئة آمنة نموذجية مثل بيئات العمل المؤسسية في الشركات، وهي محمية إلى حدٍّ بعيد من العديد من التهديدات التي عادة ما تكون محدقة بالمستخدمين المنزليين، وذلك باستخدام التدابير والأدوات الخاصة بها. بمعنى آخر، فإنه لا علاقة تقريبًا بين المهام المتعلقة بحماية القطاع المؤسسي وتلك الخاصة بحماية قطاع الرقابة الصناعية.
• بشكل عام، يرتبط مستوى النشاط التخريبي داخل فئة نظم الرقابة الصناعية بالنشاط الخفي للبرمجيات الخبيثة في البلد.
• في المتوسط، تُعزى المستويات المنخفضة لإصابات حواسيب نظم الرقابة الصناعية التي هوجمت في البلدان التي تهتمّ فيها الشركات بأمن هذه النظم، إلى تدابير الحماية المتخَذة والأدوات المستخدمة أكثر من انخفاض مستوى النشاط الإلكتروني التخريبي.
• البرمجيات الخبيثة ذاتية الانتشار نشطة للغاية في بعض البلدان. وفي الحالات التي جرى تحليلها، كانت تلك البرمجيات عبارة عن ديدان مصمّمة لإصابة وسائط التخزين المحمولة (مثل أدوات التخزين عبر USB، ومحركات الأقراص الثابتة المحمولة، والهواتف المحمولة، إلخ). ويبدو أن الإصابات بالديدان عبر الوسائط المحمولة كانت السيناريو الأكثر شيوعًا الذي يمكن أن يحدث لأجهزة نظم الرقابة الصناعية.

وقال كيريل كروغلوف الباحث الأمني في كاسبرسكي، إن الإحصائيات التي جُمعت، بالإضافة إلى التحليلات بشأن التهديدات الإلكترونية للقطاعات الصناعية، تُعدّ أحد الأصول الثابتة لتقييم التوجّهات الحالية والتنبؤ بنوع الخطر الذي ينبغي للجميع الاستعداد له، وأضاف: "حدّد هذا التقرير ما ينبغي لخبراء الأمن أن يكونوا حذرين بشأنه فيما يتعلق بالبرمجيات الخبيثة التي تهدف إلى سرقة البيانات والتجسس على أشياء مهمة واختراق المحيط وتدمير البيانات، وجميع الحوادث يمكن أن تسبب الكثير من المتاعب للشركات الصناعية".

ويوصي فريق الاستجابة لحالات الطوارئ الإلكترونية في نظم الرقابة الصناعية لدى كاسبرسكي بتنفيذ التدابير التقنية التالية:

• تحديث أنظمة التشغيل والتطبيقات والحلول الأمنية بانتظام على الأنظمة التي تُعدّ جزءًا من الشبكات الصناعية للشركات.
• تقييد حركة البيانات عبر الشبكة على المنافذ والبروتوكولات المستخدمة على أجهزة التوجيه الطرفية وداخل شبكات التقنيات التشغيلية.
• تدقيق التحكّم في الوصول إلى مكونات نظم الرقابة الصناعية داخل الشبكات الصناعية وعلى أطرافها.
• تقديم تدريب ودعم منتظم ومتخصص للموظفين وللشركاء والموردين الذين يحظون بإمكانية الوصول إلى شبكات الرقابة الصناعية والتقنيات التشغيلية.
• توظيف حلول متخصصة مثل Kaspersky Industrial CyberSecurity لحماية النقاط الطرفية على خوادم نظم الرقابة الصناعية ومحطات العمل وواجهات العمل البشرية الآلية لتأمين التقنيات التشغيلية والبنية التحتية الصناعية من الهجمات الإلكترونية العشوائية، وحلول مراقبة حركة البيانات على الشبكة وتحليلها واكتشافها لتحقيق أفضل مستوى حماية من الهجمات الموجهة.

يمكن الاطلاع على التقرير الكامل في الصفحة Kaspersky ICS CERT.