تهدد برمجة ضارة جديدة العمليات الهندسية الحرجة في أنظمة التحكم الصناعي

لقد حددت أبحاث Forescout خطراً متزايداً يستهدف محطات العمل الهندسية في التكنولوجيا التشغيلية (OT) وأنظمة التحكم الصناعية (ICS).

تسلط التحليل الذي تم نشره يوم الثلاثاء، الضوء على كيف أصبح البرامج الضارة التي تستهدف هذه المحطات شائعة بشكل متزايد.

ركزت الأبحاث على البرامج الخبيثة الموجودة في VirusTotal، والتي تضمنت حوادث تتعلق بمحطة الهندسة في ميتسوبيشي التي أصيبت بالديدان Ramnit، بالإضافة إلى البرامج الخبيثة التجريبية الجديدة المعروفة باسم Chaya_003، والتي تعطل عمليات الهندسة في سيمنز.

البرامج الخبيثة الخاصة بـ OT، على الرغم من أنها أقل شيوعًا من الهجمات على البرامج المؤسسية أو أنظمة التشغيل المحمولة، إلا أنها تشكل قلقًا كبيرًا لمشغلي الأمن في البيئات الصناعية.

تعتبر محطات العمل الهندسية، التي تلعب دورًا مركزيًا في التحكم والرصد للبنية التحتية الحيوية، من الأهداف الرئيسية لهذا النوع من الهجمات. أشار تقرير من معهد SANS إلى أن اختراق محطات العمل الهندسية يعد من أبرز وسائل الهجوم، حيث يتحمل مسؤولية أكثر من 20% من حوادث نظام OT.

ركزت التحليل التي أجرتها Forescout على البرامج الخبيثة التي تستهدف محطات العمل الهندسية، والتي تعمل على كل من أنظمة التشغيل التقليدية مثل Windows والبرامج الهندسية المتخصصة، مثل Siemens TIA Portal و Mitsubishi GX Works.

عثرت الأبحاث على مجموعتين رئيسيتين من البرمجيات الخبيثة تستهدف هذه الأجهزة. في حالة واحدة، تم إصابة الملفات التنفيذية لـ Mitsubishi GX Works بديدان Ramnit في حوادث منفصلتين. الثانية تضمنت ثلاث عينات من نوع جديد من البرمجيات الخبيثة، Chaya_003، الذي تم تصميمه خصيصًا لإنهاء عمليات الهندسة في Siemens.

Ramnit، وهو سلالة برمجيات خبيثة كانت معروفة في البداية بأنها تستهدف بيانات الاعتماد المصرفية، تطورت إلى منصة أكثر تعقيدًا قادرة على إصابة أنظمة التكنولوجيا العملياتية (OT) . تظهر النتائج الأخيرة التي قدمتها Forescout أن Ramnit لا يزال يشكل تهديدًا مستمرًا لشبكات OT.

يمكن للبرامج الضارة أن تنتشر من خلال الأجهزة الفيزيائية المُخترقة مثل محركات الأقراص USB أو أنظمة الشبكة الغير آمنة بشكل كافي. على الرغم من أن العامل المحدد لهذه العدوى لا يزال غير واضح، إلا أنه من الواضح أن البرامج الضارة تواصل التأثير على بيئات OT.

تمثل Chaya_003 من ناحية أخرى، تهديدًا جديدًا ومتطورًا. تتضمن الوظائف الرئيسية للبرنامج الضار إنهاء العمليات الهندسية الحرجة. يشير تصميمها إلى محاولات متعمدة للتنكر كعمليات نظام شرعية لتجنب الكشف من قبل برامج الأمان.

تقول شركة فورسكوت أن البرامج الضارة يتم توصيلها من خلال بنية الأمر والتحكم (C2) التي تعتمد على خدمات مشروعة مثل خطافات الويب في Discord، مما يجعلها أكثر صعوبة في الكشف عنها.

تشدد الدراسة على أهمية تأمين أجهزة العمل الهندسية لمنع هذا النوع من الهجمات. تتضمن التوصيات تحديث البرمجيات بانتظام، وتنفيذ حماية نقطة النهاية القوية، وتجزئة الشبكات للحد من الوصول إلى الأنظمة الحرجة.

تبرز التطور المتزايد في هذه الهجمات، الذي يتعزز بتوفر أدوات الذكاء الصناعي التوليدية، الحاجة إلى اتخاذ تدابير أمنية استباقية في قطاع التكنولوجيا العملية (OT).

كما تحذر الدراسة التي أجرتها Forescout أيضًا من أن البرامج الخبيثة التي تستهدف العمليات الهندسية تصبح أكثر إمكانية للوصول، مما يطمس الفرق بين المهاجمين الأقل مهارة والأكثر تقدمًا، مما يجعل من الصعب التفريق بين التهديدات البسيطة والتهديدات العالية التعقيد.