محققان امنیتی ICS در Dragos، در حین بررسی حادثه DirectLogic PLC از Automation Direct، دریافتند که نرم افزار شکستن رمز عبور برای کنترلرهای منطقی قابل برنامه ریزی (PLC) سیستم های صنعتی را به بدافزار Sality آلوده می کند.

Sality یک بدافزار نسبتا قدیمی است که به اپراتور اجازه می دهد تا فرآیندها را از بین ببرد، اتصالات راه دور را راه اندازی کند، بارهای اضافی را دانلود کند یا داده ها را از میزبان بدزدد. بدافزارها می توانند به فرآیندهای در حال اجرا نفوذ کرده و از شروع خودکار ویندوز سوء استفاده کنند.

چنین ابزارهای بازیابی رمز عبور در وب بسیار محبوب هستند و برای باز کردن قفل پایانه های PLC و HMI از بسیاری از سازندگان مانند Automation Direct، Omron، Siemens، Fuji Electric، Mitsubishi، LG، Vigor، Pro-Face، Allen Bradley، Weintek، ABB و پاناسونیک استفاده می شوند.

در این مورد، توسعه‌دهنده از نرم‌افزار PLC برای آلوده کردن ICS استفاده کرد و یک بات‌نت P2P را برای اجرای وظایف مختلف با کارایی بالا که به مقدار زیادی از قدرت محاسباتی توزیع شده نیاز دارد، از جمله شکستن رمزهای عبور یا رمزهای استخراج، ایجاد کرد.

نمونه مشخصی که توسط محققان شناسایی شد، ظاهراً بر سرقت ارزهای دیجیتال از طریق پیاده‌سازی باری متمرکز بود که محتویات کلیپ بورد را برای رهگیری تراکنش ضبط می‌کند.

بنابراین مدیران PLC های سایر فروشندگان باید از غیرقابل اعتماد بودن نرم افزار شکستن رمز عبور در محیط های ICS آگاه باشند.

#cybersecurity #otsecurity #icscybersecurity #technology

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

بهترین شیوه های امنیت سایبری OT

محققان Fortinet با تجزیه و تحلیل داده‌های سازمان‌هایی که در 12 ماه گذشته نفوذ امنیت سایبری صفر داشتند و مقایسه آنها با داده‌های سازمان‌هایی که بیش از 10 نفوذ داشته‌اند، نتایجی در مورد بهترین شیوه‌ها برای امنیت سایبری OT به دست آوردند.
🎯· فعالیت های OT را به طور مرکزی برای عملیات امنیت سایبری قابل مشاهده کنید
🎯· زمان پاسخگویی به آسیب پذیری امنیتی را به عنوان سه معیار اصلی برای موفقیت در نظر بگیرید
🎯· از فناوری کنترل دسترسی شبکه مبتنی بر نقش استفاده کنید
🎯· موارد امنیتی را به رهبری اجرایی گزارش دهید
🎯· به SOC اجازه دهید تا امنیت سایبری OT را نظارت و ردیابی کند
🎯· ردیابی و گزارش نفوذ شناسایی و اصلاح شده است
🎯· از یک فروشنده واحد برای دستگاه های OT مرتبط با IP استفاده کنید

#cybersecurity #otsecurity #icscybersecurity #technology

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

͏دو آسیب‌پذیری بالقوه جدی در راه‌حل‌های اتوماسیون صنعتی Moxa تأمین‌کننده تایوانی می‌تواند به مهاجمان اجازه دهد تا اختلالات عمده ایجاد کنند.

CVE-2022-2043 و CVE-2022-2044 دارای درجه بندی با شدت بالایی هستند و بر سرورهای Moxa NPort 5110 که برای اتصال دستگاه ها به شبکه های اترنت طراحی شده اند تأثیر می گذارند. این شرکت گفت که فقط نسخه 2.10 تحت تأثیر قرار گرفته است.

آسیب‌پذیری‌ها در نیمه اول مارس 2022 توسط ینس نیلسن از شرکت دانمارکی infosec En Garde Security کشف شد و PoC‌ها و ویدیوهای مربوطه را در اختیار فروشنده قرار داد که این عملیات را نشان می‌داد.

خطاها می توانند توسط یک مهاجم راه دور برای ایجاد شرایط انکار سرویس DoS در دستگاه هدف مورد سوء استفاده قرار گیرند.

هر دو آسیب پذیری نیاز به اتصال شبکه به دستگاه هدف دارند تا مورد سوء استفاده قرار گیرند. اکسپلویت ها را می توان تنها در چند ثانیه اجرا کرد، می توان آنها را خودکار کرد و از طریق شبکه راه اندازی کرد.

اگرچه دستگاه های Moxa NPort نباید در معرض شبکه بیرونی قرار گیرند، اما در واقع بسیاری از آنها از طریق اینترنت قابل دسترسی هستند.

دستگاه‌های آسیب‌پذیر NPort در سراسر جهان از جمله در بخش‌های زیرساختی حیاتی مانند انرژی، تولید و حمل‌ونقل استفاده می‌شوند. شودان بیش از 5000 دستگاه از این دستگاه ها را نشان می دهد، اگرچه برخی از آنها ممکن است هانی پات باشند.

بیشتر این در روسیه است.

در مورد آسیب‌پذیری DoS، تنها راه برای به دست آوردن مجدد کنترل دستگاه، قطع و وصل برق است که نیاز به دسترسی فیزیکی به دستگاه دارد.

آسیب‌پذیری دوم، خارج از محدوده، می‌تواند به مهاجم اجازه دسترسی و بازنویسی عناصر روی دستگاه را بدهد، که منجر به خرابی یا خرابی داده‌ها می‌شود که می‌تواند باعث غیرقابل استفاده شدن سیستم و در برخی موارد به طور دائمی دستگاه شود.

مدیران و امنیت اطلاعات در شرکت ها باید توصیه های Moxa مربوطه را در مورد آسیب پذیری ها به دقت مطالعه کنند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

دو رادیواکتیو: اسپانیا دو نفر را که مسئول حمله به سیستم های هشدار رادیواکتیو بودند دستگیر کرد

پلیس به دو خانه و دفتر یک شرکت در مادرید و سن آگوستین دل گوادالیکس یورش برد. افسران مجری قانون بسیاری از رایانه ها و دستگاه های ارتباطی مورد استفاده مجرمان سایبری را در طول این حملات پیدا کردند.

- همانطور که در نتیجه تحقیقات مشخص شد، دو مظنون به شبکه اداره کل دفاع غیرنظامی و موارد اضطراری (DGPGE) اسپانیا دسترسی پیدا کردند و پس از آن برخی از سنسورهای سیستم هشدار خطر رادیواکتیو را خاموش کردند. کاهش حساسیت آن حتی در مناطق دارای نیروگاه های هسته ای.

- مهاجمان موفق شدند 300 سنسور از 800 حسگر واقع در سراسر اسپانیا را غیرفعال کنند و ارتباط آنها با مرکز کنترل را قطع کنند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

Nozomi Networks یک آسیب پذیری با امتیاز CVSS 7.4 در دوربین های IP داهوا کشف کرده است که امکان کنترل کامل دستگاه ها را فراهم می کند.

CVE-2022-30563 بر اجرای مکانیسم احراز هویت WS-UsernameToken تالار گفتمان رابط ویدئویی شبکه باز (ONVIF) در برخی از دوربین های IP داهوا تأثیر می گذارد.

محصولات منطبق با ONVIF به کاربران این امکان را می دهند تا با استفاده از مجموعه ای از رابط های برنامه نویسی برنامه نویسی استاندارد (API) اقدامات مختلفی را بر روی یک دستگاه راه دور انجام دهند، از جمله مشاهده فیلم دوربین، قفل یا باز کردن قفل درب هوشمند، و انجام عملیات تعمیر و نگهداری.

این آسیب‌پذیری می‌تواند توسط مهاجمان برای به خطر انداختن دوربین‌های شبکه با رهگیری یک ارتباط ONVIF رمزگذاری‌نشده و استفاده مجدد از اعتبارنامه‌ها در یک درخواست جدید به دوربین مورد سوء استفاده قرار گیرد، که توسط دستگاه به عنوان درخواست‌های احراز هویت معتبر پذیرفته می‌شود.

مهاجمان، به ویژه APTها، ممکن است علاقه مند به هک کردن دوربین های IP به عنوان بخشی از کمپین های جاسوسی بر روی تجهیزات یا فرآیندهای تولید هدف باشند. اطلاعات می تواند راه حلی برای وظایف شناسایی انجام شده قبل از شروع یک حمله سایبری ارائه دهد.

پس از به دست آوردن اعتبار، مهاجم همچنین می‌تواند یک حساب مدیر اضافه کند و از آن برای دسترسی کامل به دستگاه استفاده کند.

نسخه‌های زیر محصولات ویدیویی داهوا تحت تأثیر قرار گرفته‌اند: نسخه‌های Dahua ASI7XXX قبل از v1.000.0000009.0.R.220620؛ نسخه های داهوا IPC-HDBW2XXX قبل از v2.820.0000000.48.R.220614؛ نسخه های داهوا IPC-HX2XXX قبل از v2.820.0000000.48.R.220614.

سازنده با انتشار یک پچ مشکل را برطرف کرده است.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

سیسکو روز چهارشنبه وصله‌هایی را برای رفع 8 آسیب‌پذیری امنیتی منتشر کرد که 3 مورد از آن‌ها می‌تواند توسط یک مهاجم تایید نشده برای RCE مورد سوء استفاده قرار گیرد یا باعث ایجاد شرایط DoS در دستگاه‌های آسیب‌پذیر شود.

بحرانی ترین باگ روی روترهای سری RV160، RV260، RV340 و RV345 Cisco Small Business تاثیر می گذارد.

ردیابی شده به عنوان CVE-2022-20842 با امتیاز CVSS: 9.8. مشکل به اعتبار ناکافی ورودی کاربر در رابط وب مدیریت دستگاه مربوط می شود.

طبق این بولتن، یک مهاجم می تواند با ارسال یک ورود به سیستم HTTP تولید شده به دستگاه آسیب دیده از این آسیب پذیری سوء استفاده کند. یک اکسپلویت عجولانه می‌تواند به مهاجم اجازه دهد تا کد دلخواه را به‌عنوان روت در سیستم‌عامل زیربنایی اجرا کند، یا باعث راه‌اندازی مجدد دستگاه شود که منجر به یک وضعیت DoS می‌شود.

دو باگ دیگر CVE-2022-20827 (امتیاز CVSS: 9.0) و CVE-2022-20841 (امتیاز CVSS: 8.0) به مشکلات تزریق دستور در ویژگی به‌روزرسانی پایگاه داده فیلتر وب روتر و Open Plug-n -Play (PnP) مربوط می‌شوند.

اولین مورد می تواند توسط مهاجم برای تزریق و اجرای دستورات دلخواه بر روی سیستم عامل اصلی به عنوان root استفاده شود، در حالی که دیگری می تواند با ارسال ورودی مخرب برای دستیابی به اجرای کد در میزبان لینوکس مورد سوء استفاده قرار گیرد.

برای سوء استفاده از این آسیب‌پذیری، یک مهاجم باید MiTM را پیاده‌سازی کند یا در یک دستگاه شبکه خاص متصل به روتر آسیب‌دیده، جای پایی به دست آورد.

سیسکو همچنین پنج باگ با شدت متوسط ​​را که بر جلسات Webex، موتور خدمات هویت، مدیر ارتباطات یکپارچه و پلتفرم تحویل برنامه BroadWorks تأثیر می‌گذاشت، برطرف کرد.

این شرکت راه‌حل‌های اضافی برای رسیدگی به این مشکلات ارائه نکرد و اشاره کرد که هیچ مدرکی مبنی بر بهره‌برداری از آسیب‌پذیری‌ها در طبیعت وجود ندارد.

با این حال، مشتریان تشویق می شوند که به سرعت به روز رسانی های موجود را اعمال کنند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

روسیه و امنیت سایبری پس از تحریم

سر و صدا و نگرانی های زیادی در مورد این واقعیت وجود داشت که بازار امنیت اطلاعات روسیه به سرعت در حال از دست دادن تامین کنندگان خارجی است که تا سال 2021 تا 39٪ از کل بازار را اشغال کردند.

از پایان ماه فوریه، Avast، Cisco، Fortinet، IBM، ESET، NortonLifeLock Inc.، Forcepoint (Websense) همگی بازنشسته شده اند.

با این حال، نمایندگان برجسته صنعت infosec روسیه چشم انداز بزرگی را در این امر می بینند. Kaspersky Lab، Positive Technologies و Informzaschita در مورد محرک های احتمالی رشد گفتند.

بر اساس پیش‌بینی مرکز تحقیقات استراتژیک روسیه (یک سازمان غیرانتفاعی که استراتژی‌هایی برای توسعه بلندمدت اقتصاد روسیه ایجاد می‌کند)، تا سال 2026 بازار امنیت اطلاعات روسیه از 185.9 میلیارد روبل به 469 میلیارد روبل (CAGR) خواهد رسید. سهم بازار در سال 2026 20 درصد خواهد بود.

در عین حال، سهم شرکت های روسی در بازار از 113 میلیارد روبل در سال 2021 به 446 میلیارد روبل در سال 2026 (CAGR برای 5 سال - 32٪) افزایش می یابد، در حالی که سهم فروشندگان خارجی به 5٪ کاهش می یابد.

ماکسیم فیلیپوف، مدیر توسعه کسب‌وکار Positive Technologies، این موضوع را اینگونه توجیه می‌کند که اولاً توسعه بازار تحت تأثیر خروج شرکت‌های غربی قرار می‌گیرد و ثانیاً تحت تأثیر حوادث سایبری واقعی ناشی از وضعیت ژئوپلیتیکی و مقررات دولتی است. به یک عامل رشد اساسی تبدیل شود.

با در نظر گرفتن این واقعیت که چک پوینت اسرائیل به هیچ وجه قرار نیست بازار روسیه را ترک کند.


👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

وزارت امنیت داخلی ایالات متحده (DHS) آسیب‌پذیری‌های حیاتی را در دستگاه‌های رمزگشای سیستم هشدار اضطراری (EAS) وصله‌نشده گزارش می‌کند که می‌تواند برای ایجاد هشدارهای اضطراری جعلی از طریق زیرساخت میزبان (تلویزیون، رادیو، شبکه کابلی) استفاده شود.

EAS سیستم هشدار عمومی ملی ایالات متحده است که به مقامات ایالتی و محلی اجازه می دهد تا در صورت بروز شرایط اضطراری یا زمانی که همه ابزارهای دیگر برای هشدار به مردم در دسترس نیستند، اطلاعات حیاتی را ارائه دهند.

هشدارهای EAS از طریق IPAWS در تمام کانال‌های ارتباطی، از جمله AM، FM و رادیو ماهواره‌ای و همچنین تلویزیون کابلی و ماهواره‌ای به طور همزمان ارائه می‌شوند. آنها همچنین می توانند برنامه های رادیویی و تلویزیونی را قطع کنند و می توانند به صورت پیام متنی با یا بدون پیوست های صوتی ارائه شوند.

این آسیب‌پذیری توسط محقق Cybir، Ken Pyle کشف شد و دستگاه‌های EAS Monroe Electronics R189 One-Net DASDEC را تحت تأثیر قرار داد.

اگر با موفقیت مورد سوء استفاده قرار گیرد، مهاجم می تواند به راحتی به اعتبارنامه ها، گواهی ها، دستگاه ها دسترسی پیدا کند، از یک وب سرور استفاده کند، هشدارهای جعلی را با استفاده از پیام های crafts ارسال کند، هشدارهای معتبر/فعال را دریافت کند و سایر کاربران را مسدود کند.

این محقق خاطرنشان کرد که آسیب‌پذیری‌ها و مشکلات متعدد (که توسط محققان دیگر تأیید شده است) برای چندین سال رفع نشدند و به یک باگ بزرگ تبدیل شدند.

با توجه به بوروکراسی آنها، احتمالاً زمان زیادی طول می کشد تا باگ حل شود.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

استراق سمع از طریق کابل نوری که از اتاق عبور می کند
ادامه مطلب در لینک زیر:

https://t.me/ics_cert/580

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

استراق سمع از طریق کابل نوری که از اتاق عبور می کند

گروهی از محققان دانشگاه Tsinghua (چین) تکنیکی را برای استراق سمع مکالمات در اتاقی که شامل یک کابل نوری است، برای مثال برای اتصال به اینترنت، توسعه داده‌اند. ارتعاشات صدا افت فشار هوا را ایجاد می کند که به دلیل آن ریز ارتعاشات در کابل نوری رخ می دهد که با موج نوری که از طریق کابل منتقل می شود مدوله می شود. اعوجاج های حاصل را می توان با استفاده از تداخل سنج لیزری Mach-Zehnder در یک فاصله به اندازه کافی بزرگ تجزیه و تحلیل کرد .
در طول آزمایش، تشخیص کامل گفتار صدا در حضور یک قطعه باز سه متری کابل نوری (FTTH) در جلوی مودم امکان پذیر بود. اندازه گیری در فاصله 1.1 کیلومتری از انتهای کابل واقع در اتاق استراق سمع انجام شد. محدوده شنیداری و توانایی فیلتر کردن تداخل با طول کابل در اتاق، یعنی. با کاهش طول کابل در اتاق، حداکثر فاصله ای که از آن امکان شنیدن وجود دارد نیز کاهش می یابد.
تشخیص و بازیابی سیگنال صوتی در شبکه های ارتباطی نوری را می توان به صورت مخفیانه، به طور نامحسوس برای شی شنونده و بدون نقض توابع ارتباطی مورد استفاده اجرا کرد. محققان از یک مالتی پلکسر تقسیم طول موج (WDM، Wavelength Division Multiplexer) استفاده کردند. کاهش بیشتر در سطح نویز پس زمینه با متعادل کردن بازوهای تداخل سنج به دست می آید.

اقدامات برای مقابله با استراق سمع شامل کاهش طول کابل نوری در اتاق و قرار دادن کابل در کانال های کابلی سفت و سخت است. همچنین می توانید از کانکتورهای نوری زاویه دار APC (Angled Physical Connect) به جای کانکتورهای انتهای تخت (PC) برای کاهش کارایی گوش دادن استفاده کنید. برای تولیدکنندگان کابل های فیبر نوری، استفاده از موادی با مدول الاستیسیته بالا مانند فلز و شیشه به عنوان روکش فیبر توصیه می شود.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

استراق سمع از طریق کابل نوری که از اتاق عبور می کند
مقاله کامل را از اینجا بخوانید

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

کارشناسان Kaspersky موجی از حملات هدفمند به شرکت های صنایع دفاعی و سازمان های دولتی در چندین کشور را شناسایی کرده اند. در جریان تحقیقات، بیش از دوازده سازمان مورد حمله پیدا شد. هدف این حمله کارخانه ها، دفاتر طراحی و موسسات تحقیقاتی، سازمان های دولتی، وزارتخانه ها و ادارات چندین کشور اروپای شرقی (بلاروس، روسیه، اوکراین) و افغانستان بودند.
مهاجمان موفق شدند به ده ها شرکت نفوذ کنند و حتی در برخی از آنها زیرساخت های فناوری اطلاعات را به طور کامل تصرف کرده و کنترل سیستم های مدیریت راه حل های امنیتی را در دست بگیرند.

تجزیه و تحلیل اطلاعات به دست آمده در جریان بررسی حوادث حاکی از آن است که هدف از این مجموعه حملات، جاسوسی سایبری بوده است.

نتیجه گیری
نتایج این مطالعه نشان می دهد که فیشینگ نیزه ای یکی از مهم ترین تهدیدها برای شرکت های صنعتی و سازمان های دولتی است. اساساً، مهاجمان از بدافزارهای درپشتی شناخته شده قبلی و همچنین تکنیک های استاندارد برای توسعه حمله و دور زدن تشخیص راه حل های ضد ویروس استفاده می کردند. در همان زمان، آنها توانستند به ده ها شرکت نفوذ کنند و حتی در برخی از آنها زیرساخت فناوری اطلاعات را به طور کامل تصرف کرده و کنترل سیستم های مدیریت راه حل های امنیتی را در دست بگیرند.
احتمال تکرار چنین حملاتی در آینده را بسیار زیاد می دانیم. شرکت های صنعتی و سازمان های دولتی باید کار گسترده ای برای دفع موفقیت آمیز چنین حملاتی انجام دهند.

✅توصیه ها
1️⃣اطمینان حاصل کنید که همه سرورها و ایستگاه های کاری نرم افزار امنیتی نصب کرده اند که از مدیریت متمرکز پشتیبانی می کند که پایگاه داده های ضد ویروس و ماژول های برنامه آن به روز هستند.
2️⃣ اطمینان حاصل کنید که تمام اجزای ضد بدافزار در همه سیستم‌ها فعال هستند و خط‌مشی برای جلوگیری از غیرفعال کردن حفاظت بدون وارد کردن رمز عبور سرپرست تنظیم شده است.
3️⃣بررسی کنید که خط‌مشی‌های Active Directory شامل محدودیت‌هایی برای تلاش‌های کاربر برای ورود به سیستم هستند. کاربران فقط باید مجاز به ورود به سیستم هایی باشند که برای انجام وظایف شغلی خود نیاز به دسترسی دارند.
4️⃣محدود کردن (به حداقل رساندن) اتصالات شبکه بین سیستم ها در شبکه OT، از جمله VPN ها. اتصالات را در تمام پورت هایی که در فرآیند مورد نیاز نیستند مسدود کنید.
5️⃣در صورت امکان، روابط اعتماد بین دامنه های سازمانی را محدود کنید و تعداد کاربرانی را که دارای حقوق سرپرست دامنه هستند به حداقل برسانید.
6️⃣آموزش کارکنان سازمان در مورد قوانین کار ایمن با اینترنت، ایمیل و سایر کانال های ارتباطی، به ویژه، توضیح عواقب احتمالی بارگیری و اجرای فایل ها از منابع تأیید نشده. به مسائل شناسایی ایمیل های فیشینگ و همچنین اقدامات ایمن برای کار با اسناد مایکروسافت آفیس توجه کنید.
7️⃣فقط در صورت لزوم برای انجام وظایف شغلی خود از حساب های سرپرست محلی و سرپرست دامنه استفاده کنید.
8️⃣توانایی برنامه ها را برای به دست آوردن امتیازات SeDebugPrivilege (در صورت امکان) محدود کنید.
9️⃣یک خط مشی رمز عبور را اجرا کنید که الزامات پیچیدگی رمز عبور را تعیین می کند و نیاز به تغییر منظم رمزهای عبور دارد.
🔟استفاده از محصولات و خدمات «تشخیص و پاسخ مدیریت شده» را برای دسترسی سریع به دانش و تجربه امنیت اطلاعات سطح بالا در نظر بگیرید.
1️⃣1️⃣از راهکار های حفاظتی مخصوص کارخانه های صنعتی استفاده کنید.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

یک منبع جالب که مناطق جغرافیایی را نشان می دهد که GPS به طور فعال مسدود یا مختل شده است. می تواند هنگام برنامه ریزی برای بهره برداری از تاسیسات CII که از موقعیت جغرافیایی ماهواره ای استفاده می کنند مفید باشد

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

زیمنس و اشنایدر الکتریک مجموعاً 11 آسیب‌پذیری را اصلاح کرده‌اند و هر کدام تنها چهار بولتن منتشر کرده‌اند.

چهار بولتن زیمنس هفت حفره امنیتی را توصیف می کند. این شرکت گفت که برخی از سوئیچ‌ها، روترها، دستگاه‌های امنیتی و دستگاه‌های بی‌سیم SCALANCE تحت تأثیر سه آسیب‌پذیری قرار دارند.

یک نقص مهم می تواند به یک مهاجم احراز هویت شده با امتیازات اداری اجازه دهد تا کد تزریق کند یا پوسته ریشه ایجاد کند.

یک آسیب‌پذیری با شدت بالا می‌تواند به یک مهاجم تایید نشده اجازه دهد تا از راه دور یک وضعیت DoS را راه‌اندازی کند، در حالی که یک مشکل متوسط ​​می‌تواند برای حملات XSS توسط یک مهاجم اداری مورد سوء استفاده قرار گیرد.

در عین حال، رفع مشکل در حال حاضر فقط برای دستگاه‌های SCALANCE SC-600 در دسترس است و برخی از محصولات آسیب‌دیده اصلاً این تعمیر را دریافت نمی‌کنند.

دو آسیب پذیری جدی در نرم افزار Teamcenter رفع شده است که می تواند منجر به RCE یا DoS شود.

این شرکت به مشتریان در مورد یک آسیب‌پذیری متوسط ​​در افشای اطلاعات در Simcenter STAR-CCM و یکی دیگر از مشکلات بای پس احراز هویت متوسط ​​در ماژول وب سرور SICAM A8000 هشدار داده است.

آسیب‌پذیری Simcenter هنوز برطرف نشده است و علاوه بر این، زیمنس برنامه‌ای برای رفع آسیب‌پذیری SICAM نیز ندارد.

چهار بولتن اشنایدر الکتریک یک آسیب‌پذیری را توصیف می‌کنند.

مهم‌ترین توصیه‌ها یک موضوع مهم را در EcoStruxure Control Expert، EcoStruxure Process Expert و Modicon M580 و M340 توضیح می‌دهند.

حفره امنیتی با مکانیزم ضعیف بازیابی رمز عبور مرتبط است و می تواند به مهاجم اجازه دسترسی غیرمجاز به دستگاه را بدهد.

در محصولات Modicon PLC و PAC، سازنده یک آسیب‌پذیری جدی را که می‌تواند منجر به DoS شود، و همچنین آسیب‌پذیری دیگری را که می‌تواند منجر به افشای اطلاعات حساس، مانند هش رمز عبور و داده‌های پروژه شود، برطرف کرده است.

EcoStruxure Control Expert یک آسیب پذیری DoS را برطرف کرده است که می تواند با استفاده از فایل های پروژه ساخته شده ویژه مورد سوء استفاده قرار گیرد.

بر خلاف یک همکار، اشنایدر الکتریک وصله ها و اقدامات کاهشی برای هر آسیب پذیری منتشر کرده است.




👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

هکرها سعی کردند یک تامین کننده آب بریتانیایی را تحت فشار قرار دهند و ادعا کردند که سیستم های او هک شده است.

South Staffordshire Water روزانه 330 میلیون لیتر آب آشامیدنی را برای 1.6 میلیون مصرف کننده تامین می کند. این شرکت اخیراً بیانیه‌ای صادر کرد که در آن شکستی که زیرساخت فناوری اطلاعات پس از یک حمله سایبری را تحت تأثیر قرار داد تأیید کرد.

سیستم های امنیتی و توزیع آب با وجود از کار افتادن سیستم های فناوری اطلاعات به کار خود ادامه می دهند. مشتریان شرکت های تابعه کمبریج واتر و ساوت استفز واتر هیچ وقفه ای در تامین آب خود تجربه نمی کنند. تمامی تیم های خدماتی نیز به طور عادی کار می کنند.

در همین حال، باند باج افزار Clop در وب سایت DLS خود تیمز واتر را هدف قرار داده است و ادعا می کند که به سیستم های SCADA دسترسی پیدا کرده است که هکرها می توانند با دستکاری آنها کیفیت آب را تغییر داده و باعث قطعی آب برای 15 میلیون مصرف کننده شوند.

تیمز واتر بزرگترین اپراتور آب در بریتانیا است که به لندن بزرگ و مناطق اطراف رودخانه تیمز خدمات رسانی می کند.

هکرها به تیمز واتر در مورد شکاف های موجود در امنیت اطلاعات اطلاع دادند و سیستم های آن را رمزگذاری نکردند و خود را به آشنایی با 5 ترابایت از سیستم های در معرض خطر محدود کردند.

پس از به بن بست رسیدن مذاکرات باج، مهاجمان اولین نمونه از داده های سرقت شده را منتشر کردند که شامل گذرنامه، گواهینامه رانندگی، اسکرین شات از سیستم های تصفیه آب SCADA و سایر اطلاعات می شود.

تیمز واتر رسماً تمام استدلال های اخاذی ها را رد کرد و کلوپ را به یک فریب سایبری متهم کرد. از این گذشته، در میان شواهد هک Clop، آنها صفحه گسترده ای با نام های کاربری و رمزهای عبور مربوط به South Staff Water و South Staffordshire ارائه کردند.

بسیار محتمل است که کلوپ یا طعمه خود را اشتباه شناسایی کرده باشد یا تصمیم گرفته باشد ماهی بزرگ تری بگیرد. در مواجهه با کمبود آب در لندن، این ترفند ممکن بود جواب دهد.

در هر صورت، تیمز واتر باید محتاط باشد، زیرا این انتشار تنها می تواند مقدمه ای برای یک حادثه سایبری در آینده باشد.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

بزرگترین توزیع کننده گاز طبیعی یونان DESFA روز شنبه تایید کرد که قربانی یک حادثه سایبری باج افزار شده است.

در یک بیانیه عمومی، DESFA توضیح داد که هکرها سعی کردند به شبکه اش نفوذ کنند، اما با پاسخ سریع بخش فناوری اطلاعات خنثی شدند.

در واقع، باج‌افزار به شبکه نفوذ کرده، داده‌ها را استخراج کرده و سپس رمزگذاری می‌کند.

پس از آن، دسفا بسیاری از خدمات آنلاین خود را خاموش کرد و متخصصان در حال کار بر روی بازسازی کامل آنها هستند.

دسفا به مصرف کنندگان اطمینان می دهد که این حادثه تاثیری بر گازرسانی نخواهد داشت و تمامی شبکه های انتقال گاز به صورت عادی کار می کنند.

پلیس سایبری محلی، سازمان ملی حفاظت از داده ها، وزارت دفاع و وزارت انرژی به تحقیقات در مورد این حادثه ملحق شده اند، که در حال حاضر نشان می دهد که نسخه رسمی ممکن است به اندازه کافی با شرایط واقعی متفاوت باشد.

تایید حمله پس از آن صورت گرفت که Ragnar Locker یک قربانی را در DLS خود در روز جمعه با مجموعه کوچکی از فایل‌های دزدیده شده و نه کاملاً محرمانه قرار داد.

علاوه بر این، هکرها خاطرنشان کردند که آسیب‌پذیری‌های متعددی را در سیستم امنیتی DESFA کشف کرده‌اند و احتمالاً به عنوان بخشی از حمله سایبری خود، آنها را از این واقعیت آگاه کرده‌اند و پس از نادیده گرفتن، عملیات سنتی خود را انجام می‌دهند.

دسفا همچنین می گوید با مجرمان سایبری درباره باج گیری مذاکره نخواهد کرد.

با این حال، با توجه به تشدید بحران انرژی در اروپا، ثابت قدم بودن تامین کننده یونانی ممکن است یک داستان عمومی و همچنین اظهارات رسمی تشویق کننده باشد.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

سرویس‌های VPN بیش از ۲ سال است که اطلاعات کاربران iOS را لو می‌دهند

یک مطالعه جدید نشان داده است که اشخاص ثالث می توانند ترافیک و آدرس IP شما را ببینند.

بر اساس یک مطالعه جدید، دستگاه‌های iOS مقداری از ترافیک شبکه را به خارج از تونل VPN هدایت می‌کنند. مایکل هوروویتز محقق امنیت سایبری در این مورد در وبلاگ خود نوشت .
جلسات و اتصالاتی که قبل از فعال‌سازی VPN ایجاد شده‌اند قطع نمی‌شوند و با کمک گزارش پیشرفته روتر، همچنان می‌توانند در زمانی که تونل VPN فعال است، داده‌ها را به خارج از تونل ارسال کنند.
به عبارت دیگر، داده ها دستگاه را خارج از تونل VPN ترک می کنند و این یک نشت کامل داده است.


طبق گزارش‌های هورویتز، یک iPad متصل به VPN با ارائه‌دهنده VPN (37.19.214.1) و Apple Push (17.57.144.12) تماس می‌گیرد. اتصال Apple خارج از VPN است و در صورت مشاهده ISP یا سایر طرف‌ها، می‌تواند آدرس IP را به طور بالقوه فاش کند.
شرکت حریم خصوصی Proton قبلاً یک آسیب پذیری مشابه را گزارش کرده است که حداقل در iOS 13.3.1 ظاهر شده است. ProtonVPN در آن زمان اشاره کرد که VPN معمولاً تمام اتصالات موجود را می بندد و آنها را در داخل تونل VPN باز می کند، اما این اتفاق در iOS رخ نداد. بیشتر اتصالات موجود به داخل تونل ختم می‌شوند، اما برخی مانند سرویس اعلان فشار اپل، ممکن است ساعت‌ها طول بکشد.
هوروویتز برنامه ProtonVPN را در اواسط سال 2022 روی یک آی‌پد با سیستم عامل iOS 15.4.1 آزمایش کرد و دریافت که همچنان امکان اتصال مداوم و بدون تونل به سرویس فشار اپل را می‌دهد. هوروویتز گفت، ویژگی Kill Switch ProtonVPN، که در صورت از بین رفتن تونل VPN، تمام ترافیک شبکه را مسدود می کند، نشت را متوقف نکرد.
و آزمایش بر روی iOS 15.5 با یک ارائه دهنده OVPN VPN که پروتکل WireGuard را اجرا می کند نشان داد که iPad او همچنان به خدمات اپل و خدمات وب آمازون درخواست می دهد.
ProtonVPN یک راه حل پیشنهاد کرد: به یک سرور VPN متصل شوید، حالت هواپیما را روشن کنید، سپس آن را خاموش کنید. سایر اتصالات شما نیز باید در داخل تونل VPN دوباره وصل شوند، اما ProtonVPN این را 100٪ تضمین نمی کند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

بچه گربه جذاب دست به یک بدافزار جدید زد

هکرهای دولتی ایرانی ابزاری را به زرادخانه خود اضافه کرده اند که داده ها را از حساب های جیمیل، یاهو! و Microsoft Outlook استخراج می کند

گروه تحلیل تهدیدات گوگل (TAG) بدافزار را HYPERSCRAPE نامگذاری کرد. به گفته کارشناسان، این بدافزار به طور فعال در حال توسعه است و حتی علیه ده ها حساب کاربری ایرانی نیز استفاده شده است. ابزار هک اولین بار در دسامبر 2021 کشف شد. قبل از کار با HYPERSCRAPE، مهاجم باید اعتبار قربانی را دریافت کند یا جلسه کاربر قربانی را ربوده باشد.
این ابزار با دات نت نوشته شده و بر روی سیستم های ویندوز اجرا می شود. HYPERSCRAPE دارای تمام عملکردهای لازم برای جمع آوری و استخراج محتویات صندوق پستی قربانی و همچنین حذف ایمیل هایی از سرویس امنیتی Google است که به قربانی در مورد فعالیت مشکوک هشدار می دهد.
اگر ایمیل توسط قربانی خوانده نشده باشد، ابتدا ابزار باز می شود و ایمیل را به صورت فایل .eml دانلود می کند و پس از آن آن را به عنوان خوانده نشده علامت گذاری می کند.
شایان ذکر است که نسخه‌های اولیه HYPERSCRAPE این گزینه را داشتند که داده‌ها را از Google Takeout درخواست کنند، ویژگی که به کاربران اجازه می‌دهد داده‌های خود را به یک فایل بایگانی قابل دانلود صادر کنند.
مشخص است که تمام حساب های تحت تأثیر حمله HYPERSCRAPE بازیابی شده اند و صاحبان آنها از این حادثه مطلع شده اند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

غول نفت و گاز ایتالیایی انی که حتی یک چاه در این کشور ندارد اما در آفریقا، روسیه و قزاقستان با موفقیت تولید می کند، مورد حمله سایبری قرار گرفت.

در توضیحات خود، یکی از نمایندگان شرکت تایید کرد که نقض‌های امنیتی وجود داشته و مهاجمان به شبکه آن دسترسی پیدا کرده‌اند، اما این حمله عواقب جزئی داشت، زیرا به سرعت شناسایی شد و اقدامات مناسب انجام شد.

این شرکت این حادثه را به مقامات ایتالیایی گزارش داد و تحقیقات برای تعیین میزان تهدیدات و عواقب آن آغاز شده است. این حمله برای اولین بار توسط بلومبرگ نیوز در روز چهارشنبه گزارش شد که نشان می دهد انی توسط باج افزار مورد حمله قرار گرفته است.

با این حال، هنوز جزئیات فنی در مورد این حمله وجود ندارد و در حال حاضر نمی توان تعیین کرد که مهاجمان چگونه شرکت را هک کرده اند، انگیزه آنها و چه عاملی تهدید کننده در پشت این حمله قرار دارد.

متأسفانه، این تنها حادثه در چند وقت اخیر نیست که بخش انرژی ایتالیا آسیب دیده است. به معنای واقعی کلمه روز دیگر، آژانس انرژی ایتالیایی Gestore dei Servizi Energetici SpA مورد حمله قرار گرفت. علاوه بر این، GSE یک ساختار دولتی است که بازار برق ایتالیا را مدیریت می کند.

جزئیات این حادثه نیز در دست نیست و سایت GSE همچنان از کار افتاده است، اما منابع آگاه گفتند که زیرساخت های شرکت به خطر افتاده است و این بر عملکرد آژانس تأثیر می گذارد.

روزی بدون باج افزار نیست.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

آمازون بازیگران مشهور هالیوود را برای تبلیغ موضوع احراز هویت چند عاملی استخدام کرده است.

من نمی دانم که آیا خود بازیگران این گزینه را روشن کرده اند؟ و خیلی پیش میاد که اونی که تبلیغ میکنه اصلا از چیزی که تبلیغ میکنه استفاده نمیکنه 😊

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

سلام به همه!

تجزیه و تحلیل های آماده شده در مورد تهدیدات سایبری برای سه ماهه دوم سال 2022.

تعداد حملات سایبری علیه مؤسسات صنعتی نسبت به سه ماهه اول سال جاری افزایش چشمگیری داشته است. 76 درصد از آنها با استفاده از بدافزار مرتکب شدند که در میان آنها باج افزار پیشتاز بود (61 درصد).

در اغلب موارد، اقدامات مزاحمان منجر به اختلال در شرکت های صنعتی (53%) و درز اطلاعات محرمانه (55%) شده است.

🛡به منظور افزایش سطح حفاظت از شرکت های صنعتی، استفاده از پلتفرم جامع حفاظت از صنعت در برابر تهدیدات سایبری را توصیه می کنیم.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti