تهديدات التكنولوجيا التشغيلية OT للأمن السيبراني يجب الانتباه إليها في عام 2022

تم تجاهل أنظمة التكنولوجيا التشغيلية (OT) ، مثل أنظمة التحكم الصناعية و SCADA ، من قبل  cyberpunks في الماضي. كان سرقة بيانات نظام OT أمرا صعبا لأنه لم يكن متصلا بشبكات خارجية.

لكن هذا لم يعد هو الهدف.  اليوم ، ترتبط أنظمة صناعية متعددة بشبكات الشركة مع إمكانية الوصول إلى الإنترنت وتستخدم كل شيء من أجهزة الاستشعار المترابطة إلى تحليلات البيانات الضخمة ، لتوفير التقدم التشغيلي. وقد أدى هذا التقارب والتكامل بين OT وتكنولوجيا المعلومات  إلى زيادة المخاطر السيبرانية ، بما في ذلك الحوادث السيبرانية الفعالة والضارة عبر كل من تكنولوجيا المعلومات و OT.

تتنوع تهديدات الأمن السيبراني في عالم OT من تكنولوجيا المعلومات ، حيث يتجاوز التأثير فقدان البيانات أو الإضرار بالسمعة أو تدهور ثقة العملاء.  يمكن أن يؤدي حادث الأمن السيبراني OT إلى فقدان الإنتاج وتلف المعدات والإفراج البيئي.

في عام 2022 ، من المتوقع أن تزداد التهديدات السيبرانية فقط.  من الضروري أن يكون لديك شبكة قوية وأجهزة أمان لحماية المؤسسة. مما لا شك فيه أنه لا يمكن لأحد التنبؤ بالتهديدات السيبرانية القادمة. دعونا نناقش أهم 10 تهديدات إلكترونية يجب الانتباه إليها في عام 2022.

Ransomware
  • هجمات برامج الفدية

في مثل هذا الهجوم ، يتم قفل جهاز الهدف ، بشكل عام عن طريق التشفير ، مما يمنعهم من تشغيل الجهاز وكل شيء محجوز فيه. يجب على الهدف دفع الفدية بالعملة الافتراضية لاستعادة الوصول إلى جهازه. ومع ذلك ، عادة ما يتم نشر برامج الفدية من خلال ملحقات البريد الإلكتروني الضارة أو تطبيقات البرامج الملوثة أو مواقع الويب المخترقة أو وحدة التخزين الخارجية المصابة.

وفقا لتوقعات الخبراء ، من المتوقع أن تتجاوز تكلفة تلف برامج الفدية 265 مليار دولار بحلول عام 2031.  ينص التنبؤ على أنه يمكن أن يكون هناك هجوم جديد كل 2 ثانية ، حيث يقوم مجرمو برامج الفدية بتعديل حمولات البرامج الضارة الخاصة بهم تدريجيا وأنشطة الابتزاز المتصلة.

 

  • هجمات الرجل في الوسط (MitM)

هجمات الرجل في الوسط (MitM) هي عندما يتجسس القراصنة الإلكترونيون على التواصل بين طرفين. وعادة ما تستخدم هذه الهجمات لسرقة البيانات الشخصية أو بيانات الشركة أو إعادة توجيه تلك البيانات إلى وجهة أخرى أو في حالات التجسس، مثل عندما حاول القراصنة الإلكترونيون الروس اختراق منظمة حظر الأسلحة الكيميائية.

تشكل هجمات MitM تهديدا للمؤسسات حيث يعمل المزيد من العمال عن بعد بعد عام 2020.

  • هجوم الباب الخلفي للبائع

في هجوم الباب الخلفي ، قام موقع صناعي بالاستعانة بمصادر خارجية لوظيفة الدعم عن بعد لنظام التحكم. يقوم مطور البرامج لدى بائع البرامج بإدراج باب خلفي في البرامج المستخدمة في شبكات أنظمة التحكم الصناعية. قد يكون البرنامج برنامج ICS أو برنامج تشغيل أو إدارة أو نظام تشغيل أو شبكة أو مكونات ICS أخرى.

قد يكون الباب الخلفي قد تم تثبيته بإذن من بائع البرنامج ك “آلية دعم” أو ربما تم تثبيته سرا من قبل مطور برامج لأغراض ضارة. يقوم البرنامج بفحص موقع الويب الخاص بالبائع أسبوعيا بحثا عن تحديثات البرامج ويبلغ المستخدم من خلال رسالة تظهر على الشاشة عند معرفة التحديث. ويشكل البرنامج أيضا، غير المعروف للمستخدم النهائي، اتصالا ثابتا لتحديث الإخطار على الموقع عندما  يطلب الموقع ويسمح بدخول الموظفين إلى الموقع للعمل عن بعد على الجهاز على شبكة ICS.

يجد Cyberpunks هذا الباب الخلفي ويعرض موقع تحديث البرامج الخاص بالبائع للخطر من خلال هجوم التصيد الاحتيالي بكلمة مرور. ثم يستخدم المهاجمون الباب الخلفي لإلحاق الضرر بالعمليات في المواقع الصناعية المرتبطة بالشركات التي تخيل القراصنة أن لديهم بعض الاعتراض عليها. من غير المرجح أن تجد أنظمة مكافحة الفيروسات هذا الباب الخلفي لأن هذا ليس النوع المستقل من البرامج الضارة التي يتم تطوير أنظمة AV لاكتشافها.  أنظمة وضع الحماية مشكوك فيها حول العثور عليها إما لأن السلوك الوحيد الواعي بالشبكة الذي تظهره هذه الأنظمة هو مكالمة دورية إلى موقع تحديث برامج البائع الشرعي الذي يطلب تعليمات التحديث.

Vendor Backdoor Attack
  • هجمات الحرمان من الخدمة الموزعة

تعيق هجمات الحرمان من الخدمة الموزعة (DDoS) حركة المرور إلى موقع الويب أو التطبيق أو الخادم أو الخدمة أو الويب عن طريق إغراقها بحركة المرور من شبكات الكمبيوتر المخترقة (botnets) التي تعيق المستخدمين الحقيقيين من الوصول إليها. في عام 2018 ، واجه GitHub أهم هجوم DDoS على الإطلاق عندما تحطم مع 1.35 تيرابت من حركة المرور في الثانية.  ووفقا لشركة كاسبرسكي، من المتوقع أن تزداد هجمات DDoS فقط في عام 2022.

  • الموقع الإلكتروني المكشوف للمزود

يجد المهاجمون السيبرانيون موقعا إلكترونيا لبائع ICS ضعيف الدفاع عنه في هجوم موقع الويب الخاص بالبائع المخترق ويعرضونه للخطر.  يقومون بتنزيل أحدث مستندات برنامج البائع ودراسته.  يتعلمون أين يتم حجز الاسم أو أي معرف آخر للموقع الصناعي في النظام.

هؤلاء المهاجمون غير راضين عن بعض المؤسسات الصناعية بسبب جرائم بيئية أو غيرها من الجرائم المتخيلة ويبحثون في وسائل الإعلام المشتركة لتحديد أي من هذه الشركات تستخدم برنامج البائع المخترق. يستخدم المهاجمون موقع الويب المخترق لإلغاء تحميل آخر تحديث أمني لبرنامج ICS وإدراج برنامج نصي صغير.  يقوم المهاجمون بإعادة حزم تحديث الأمان وتوقيع التحديث المعدل باستخدام المفتاح السري على خادم الويب ونشر التحديث الذي تم اختراقه وتجزئة MD5 جديدة للتحديث.

بمرور الوقت ، تقوم العديد من المواقع بتنزيل التحديث المخترق وتثبيته. في كل هدف ، يتم تشغيل البرنامج النصي. إذا فشل البرنامج النصي في العثور على اسم الشركة المستهدفة في نظام التحكم، فلن يفعل البرنامج النصي شيئا. عندما يعثر البرنامج النصي على الاسم ، فإنه يقوم بتثبيت برنامج نصي صغير آخر ليعمل بعد أسبوع واحد ، مما يؤدي إلى مسح محرك الأقراص الثابتة وتشغيل إيقاف تشغيل غير متوقع وربما غير متحكم فيه.  التأخير لمدة أسبوع واحد في النتائج يجعل تتبع الهجوم مرة أخرى إلى تحديث البرنامج أكثر تعقيدا إلى حد ما.

  • إختراق موقع عن بعد

في نظام SCADA الذي قد يتعامل مع نظام توزيع الكهرباء أو المياه ، يستهدف cyberpunk محطة فرعية أو محطة ضخ بعيدة ماديا عن أي شهود محتملين.  يقطع المهاجم فعليا القفل على سياج سلكي حول المحطة النائية ويخترق الموقع الفعلي. يكتشف المهاجم سقيفة معدات التحكم – عادة ما تكون الهيكل الوحيد المسقوف في الموقع – ويجبر الباب مرة أخرى على دخول السقيفة. يكتشف المهاجم الرف الوحيد في المنطقة الصغيرة ، ويقوم بتوصيل جهاز كمبيوتر محمول بمفتاح Ethernet في الحامل ، ويلصق الكمبيوتر المحمول بقاعدة قطعة من معدات الكمبيوتر منخفضة في الرف حيث من غير المرجح أن يتم ملاحظتها. ثم يغادر المهاجم الموقع. 

ويتبع ذلك تحقيق، لكن المحققين يكتشفون فقط الأضرار المادية ولا شيء مفقود على ما يبدو.  لم يتم اكتشاف الكمبيوتر المحمول الإضافي المخفي في الرف.  وبعد شهر، أوقف المهاجم سيارة بالقرب من الموقع البعيد وعمل مع الكمبيوتر المحمول عبر شبكة Wi-Fi، وسرد الشبكة واكتشف الاتصالات مرة أخرى في موقع SCADA المركزي. يستخدم المهاجم الكمبيوتر المحمول لإدخال المعدات في الموقع البعيد ، ومن هناك إلى نظام SCADA المركزي. ثم يستخدم المهاجم تقنيات على غرار أوكرانيا للتسبب في عمليات إغلاق فعلية.

Compromised Remote site

التهديدات الداخلية لأنظمة التحكم الصناعية ics

في هجوم ICS من الداخل ، يقوم فني نظام تحكم ساخط بسرقة كلمات المرور عن طريق “تصفح الكتف” للفنيين الآخرين ، وتسجيل الدخول إلى المعدات التي تتحكم في العملية المادية باستخدام كلمات المرور المسروقة ، وإصدار تعليمات إيقاف التشغيل لأجزاء من العملية المادية ، مما يؤدي تلقائيا إلى إيقاف تشغيل جزئي للمصنع.

  • اختطف اثنين من العوامل

يهدف المهاجمون المتطورون إلى اختراق العمليات في موقع صناعي محمي بأفضل ممارسات الأمن الصناعي. يقومون بإدراج برامج RAT الضارة المخصصة للتهرب من أنظمة مكافحة الفيروسات واستهداف الفنيين في الموقع الصناعي باستخدام أبحاث وسائل التواصل الاجتماعي ورسائل البريد الإلكتروني الاحتيالية المستهدفة.  يبدأ فنيو الدعم مرفقات البرامج الضارة ويأذنون بالامتيازات الإدارية لأنهم يفترضون أن البرامج الضارة هي برنامج ترميز فيديو أو بعض التقنيات الأخرى التي تبدو شرعية.

بدلا من تنشيط RAT في الموقع الصناعي ، حيث قد تلتقط أنظمة الكشف عن التسلل المتطورة في الموقع تشغيله ، ينتظر cyberpunks حتى يكون الهدف الفني على شبكتهم المنزلية ولكن يجب عليهم تسجيل الدخول إلى الموقع الصناعي عن بعد لتجاوز بعض المشاكل. يقوم الفني بتنشيط VPN الخاص به وتسجيل الدخول باستخدام المصادقة الثنائية. عند هذه النقطة، تبدأ البرامج الضارة، وتنقل نافذة سطح المكتب البعيد إلى امتداد مخفي لشاشة الكمبيوتر المحمول وتظهر للفني رسالة خطأ صعبة، مثل “توقف سطح المكتب البعيد عن الاستجابة. انقر هنا لمحاولة حل المشكلة”.  توفر البرامج الضارة جهاز تحكم عن بعد في نافذة سطح المكتب البعيد المخفية إلى cyberpunk.

يبدأ الفني جلسة سطح المكتب البعيد الأخرى إلى الموقع الصناعي ، على افتراض عدم حدوث أي انقطاع. وبهذه الطريقة ، يمكن للمهاجمين المتطورين الدخول إلى العمليات الصناعية طالما تم تمكين الكمبيوتر المحمول وVPN الخاص بالفني. المؤشر الوحيد على مشكلة ICS IDS هو أن الفني قام بتسجيل الدخول مرتين.  يفهم المهاجمون في نهاية المطاف ما يكفي عن النظام لسوء التشغيل المادي والتسبب في أضرار جسيمة للمعدات أو التسبب في مأساة بيئية من خلال إطلاق مواد سامة.

  • سلسلة توريد الأجهزة

يحدث هجوم سلسلة توريد الأجهزة عندما يتم العبث بمكون مادي للآلة بطريقة ما. هذه الأنواع من الهجمات نادرة نسبيا.

حتى الآن ، تم إعطاء أولوية كبيرة للسيطرة على الهجمات على سلسلة توريد الأجهزة والتخفيف من حدتها. يعد هجوم سلسلة توريد الأجهزة معقدا للغاية لتحليله ومكلفا لأنه لا يمكن إصلاح الأجهزة أو إصلاحها عن بعد.

 

  • هجمات رش كلمة المرور

رش كلمة المرور هو أيضا نوع من هجوم القوة الغاشمة حيث يحاول مجرمو الإنترنت تخمين كلمة مرور المستخدم من قائمة مرجعية لكلمات المرور المتوقعة مثل “123456” أو “كلمة المرور”.

على غرار حشو بيانات الاعتماد ، يزداد رش كلمة المرور أيضا يوما بعد يوم. يجب أن يكون الأشخاص على دراية بهذه الأنواع من الهجمات ويجب عليهم تحديث كلمات المرور الخاصة بهم على أساس منتظم.

أفكار أخيرة

مع تطور التقنيات الحديثة باستمرار واعتماد الناس عليها أكثر فأكثر ، تزداد فرص التعرض لهجمات الأمن السيبراني. مثل القرصنة وفقدان المعلومات السرية ، يمكن أن يكون للهجمات السيبرانية عواقب وخيمة على أي شركة.

سرعت جائحة كوفيد-19 من وتيرة التعديل الرقمي للعديد من الشركات على مستوى العالم. مع نظام العمل عن بعد الجديد ، زادت المخاطر والتهديدات للبيانات الهامة.

يعد الأمن السيبراني أحد أكبر التهديدات للمؤسسات ومصدر قلق ذو أولوية قصوى في مشهد المخاطر العالمي. ومن المطلوب أن تكون المنظمة بأسرها، بما في ذلك جميع الموظفين، مدربة ومجهزة للدفاع عن نفسها ضد الجرائم السيبرانية. لن يكون قسم تكنولوجيا المعلومات المعد كافيا لحماية المؤسسة.  تعد التهديدات السيبرانية OT مصدر قلق بالغ لأنها قد تضر بحياة الناس.

اكتشف المزيد عن الأمن السيبراني OT في هذا الكتاب الإلكتروني الجديد من ATS.  كن من أوائل من لديهم نسخة من كتاب ATS الإلكتروني حول التكنولوجيا التشغيلية (OT) للأمن السيبراني وقم بتنزيل نسختك المجانية اليوم.

 

Related Posts