رفتن به محتوای اصلی

هکرها چگونه به سامانه سوخت نفوذ کردند؟

هکرها چگونه به سامانه سوخت نفوذ کردند؟
علیرضا منافی

روز دوشنبه ۲۷ آذر ۱۴۰۲، بسیاری از جایگاه‌های سوخت در ایران از کار افتادند و توزیع سوخت با مشکل مواجه شد. به دنبال از کار افتادن این جایگاه‌ها، گروه هکری «گنجشک درنده» مسئولیت این حمله را برعهده گرفت و اعلام کرد که «این حمله سایبری به شکل کنترل‌شده انجام شد تا به خدمات اضطراری آسیب نرسد. با وجود اینکه توانایی مختل کردن کامل پمپ‌بنزین‌ها وجود داشت، تعدادی از جایگاه‌ها در سراسر ایران سالم مانده‌اند».

ابراهیم رئیسی پس از هک شدن سامانه سوخت‌رسانی، در پلتفرم فیلترشده اکس (توییتر سابق) از وزیر نفت خواست برای رفع اختلال فورا اقدام کند. سازمان پدافند غیرعامل هم اعلام کرد که در خصوص این اختلال، تمام گزینه‌های محتمل از جمله نفوذ و هک را در دست بررسی دارد، اما نمی‌تواند ادعا‌های مطرح‌شده از سوی «دشمن» را تایید کند.

شواهد هک سامانه سوخت‌رسانی بیانگر چیست؟

گروه گنجشک درنده درباره این نفوذ تصاویر و اسناد محدودی منتشر کرد اما همین اسناد محدود نشان می‌دهند که همچون نمونه‌های قبلی نفوذ و هک سامانه‌های حکومتی، استفاده از نرم‌افزارها و ابزارهای قدیمی و نامعتبر می‌تواند عامل اصلی نفوذ باشد.

بر اساس تصاویر منتشرشده، سامانه سوخت‌رسانی روی ویندوزسرور ۲۰۱۲ بوده که مایکروسافت پشتیبانی از آن را متوقف کرده است و برای این نسخه ویندوزسرور به‌روزرسانی منتشر نمی‌شود. به عبارت دیگر، مایکروسافت آسیب‌پذیری‌ها و حفره‌های امنیتی این نسخه را رفع و ترمیم نمی‌کند. علاوه بر آن، نسخه‌ای که در سامانه سوخت استفاده شده، یک نسخه غیرفعال بوده است.

بعد از هک صنایع فولاد هم مشخص شد برخی ابزارهایی که شرکت ارائه‌دهنده خدمات امنیتی صنایع فولاد استفاده می‌کرد، از سال ۲۰۱۷ به‌روزرسانی نشده‌ بودند. در جریان هک شهرداری تهران هم معلوم شد تعداد زیادی از سیستم‌ها مدت طولانی به‌روز‌رسانی نشده‌ بودند و در میان سرورهای شهرداری تهران، تعداد زیادی سرور VMware ۵.۵ به چشم می‌خورد که از سال ۲۰۱۸ پشتیبانی از آن سرویس متوقف شده‌ است.

برخی افرادی که هم‌زمان با حمله سایبری در پمپ‌بنزین‌ها حضور داشتند، می‌گویند نمایشگر تعدادی از جایگاه‌های سوخت برای مدتی کوتاه، پیام دانلود نرم‌افزار را نشان داد و سپس از کار افتاد. این اظهارات در کنار اعلام گروه هکری مبنی بر اینکه اگرچه توانایی داشتند، همه جایگاه‌‌ها را از دسترس خارج نکردند، نشان می‌دهد که گروه هکری به زیرساخت دسترسی گسترده‌ داشته و می‌توانسته است تک‌تک جایگاه‌ها را کنترل کند.

مهاجمان احتمالا یک نسخه مخرب میان‌افزار را روی دستگاه‌های کارت سوخت بارگذاری کرده‌اند. برای این کار، آن‌ها ابتدا باید به شبکه یا سامانه‌هایی که دستگاه‌های کارت سوخت را کنترل می‌کنند، دسترسی پیدا کنند.

مهاجمان با شناخت عملکرد سامانه می‌توانند یک نسخه اصلاح‌شده از میان‌افزار ایجاد کنند که قانونی به نظر می‌رسد اما حاوی کد مخرب است. این کد می‌تواند برای غیرفعال کردن دستگاه، تداخل در عملکرد آن یا حتی ایجاد یک در پشتی برای دسترسی در آینده طراحی شود. سپس مهاجمان باید این میان‌افزار مخرب را روی دستگاه‌های موردنظر نصب کنند.

اگر آن‌ها به شبکه دسترسی داشته باشند و دستگاه‌ها برای پذیرش به‌روزرسانی‌های از راه دور پیکربندی شده باشند، می‌توان این کار را از راه دور انجام داد. آن‌ها همچنین می‌توانند از طریق مهندسی اجتماعی، ادمین‌ها را فریب دهند تا فایل مخرب را نصب کنند یا آنکه از طریق دسترسی مستقیم به سامانه، میان‌افزار جعلی را نصب کنند. پس از نصب، میان‌افزار کدی را که مهاجمان طراحی‌ کرده‌اند، اجرا می‌کند.

از طرف دیگر، اظهارات رئیس صنف جایگاه‌داران اعتبار بیشتری به این سناریو می‌بخشد. به گفته قلی‌زاده، «۳۵ درصد جایگاه‌ها در کل کشور در حال فعالیت‌اند و جایگاه‌هایی که دچار اختلال شده‌اند، به‌تدریج به‌ صورت دستی فعال می‌شوند.»

آیا ایزوله کردن یک سامانه از هک شدن آن جلوگیری می‌کند؟

مسئولان جمهوری اسلامی همواره یکی از اهداف اینترنت ملی یا همان شبکه ملی اطلاعات را جلوگیری از حملات سایبری با منشا خارجی عنوان می‌کنند. با وجود پیشرفت فناوری و همچنین روش‌های مهندسی اجتماعی، دیدگاه ایزوله کردن و قطع دسترسی رویکردی شکست خورده است؛ کما اینکه در یکی دو سال اخیر با افزایش هک سامانه‌های غیرمتصل به اینترنت، این موضوع ثابت شده است.

ممکن است برای بسیاری از افراد این سوال مطرح می‌شود که وقتی یک سامانه به اینترنت متصل نیست، چگونه می‌توان به آن نفوذ کرد؟

یکی از شایع‌ترین و ساده‌ترین روش‌ها دسترسی فیزیکی است. اگر مهاجم بتواند به شبکه یا دستگاه‌ها دسترسی فیزیکی داشته باشد، می‌تواند به طور مستقیم نرم‌افزار یا سخت‌افزار مخرب را نصب کند. این کار را می‌تواند یک نیروی نفوذی انجام دهد یا از طریق مهندسی اجتماعی و فریب دادن اپراتور برای اقدامی خاص صورت گیرد.

حملات زنجیره تامین شکل پیچیده‌تری از نفوذ سایبری‌اند. در این روش، مهاجمان به جای حمله مستقیم به یک هدف محافظت‌شده، از آسیب‌پذیری‌های زنجیره تامین برای دسترسی به هدف اولیه سوءاستفاده می‌کنند.

حمله زنجیره تامین زمانی رخ می‌دهد که مهاجم از طریق نفوذ به ارائه‌دهنده سخت‌افزار یا نرم‌افزار به سیستم‌ها و داده‌های هدف نفوذ کند. مهاجمان ممکن است کدهای مخرب را قبل از اینکه یک سرویس بین مشتریان توزیع شود، به آن سرویس تزریق کنند و پس از نصب آن، به هدفشان نفوذ کنند. یکی از نمونه‌های شناخته‌شده این حمله مربوط به شرکت «سولار ویندز» است که در سال ۲۰۲۰ کشف شد. در این حمله کدهای مخرب در یک به‌روزرسانی این پلتفرم مدیریتی درج شد و هزاران سازمان را تحت تاثیر قرار داد.

علاوه بر موارد ذکرشده، روش‌های مدرن‌تر و پیچیده‌تری نیز وجود دارند که نفوذ از طریق امواج بی‌سیم و روش‌های الکترومغناطیسی و نوری انجام می‌شود.

دیدگاه‌ و نظرات ابراز شده در این مطلب، نظر نویسنده بوده و لزوما سیاست یا موضع ایرانگلوبال را منعکس نمی‌کند.

پروین
برگرفته از:
ایندیپندنت فارسی

توجه داشته باشید کامنت‌هایی که مربوط به موضوع مطلب نباشند، منتشر نخواهند شد! 

افزودن دیدگاه جدید

About text formats

متن ساده

  • تگ‌های HTML مجاز نیستند.
  • خطوط و پاراگراف‌ها بطور خودکار اعمال می‌شوند.
  • نشانی‌های وب و پست الکتونیکی به صورت خودکار به پیوند‌ها تبدیل می‌شوند.

متن ساده

  • تگ‌های HTML مجاز نیستند.
  • خطوط و پاراگراف‌ها بطور خودکار اعمال می‌شوند.
  • نشانی‌های وب و پست الکتونیکی به صورت خودکار به پیوند‌ها تبدیل می‌شوند.
CAPTCHA
CAPTCHA ی تصویری
Get new captcha!
کاراکترهای نمایش داده شده در تصویر را وارد کنید.
لطفا حروف را با خط فارسی و بدون فاصله وارد کنید