2207.05267.pdf
1 MB
استراق سمع از طریق کابل نوری که از اتاق عبور می کند
مقاله کامل را از اینجا بخوانید
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
مقاله کامل را از اینجا بخوانید
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
کارشناسان Kaspersky موجی از حملات هدفمند به شرکت های صنایع دفاعی و سازمان های دولتی در چندین کشور را شناسایی کرده اند. در جریان تحقیقات، بیش از دوازده سازمان مورد حمله پیدا شد. هدف این حمله کارخانه ها، دفاتر طراحی و موسسات تحقیقاتی، سازمان های دولتی، وزارتخانه ها و ادارات چندین کشور اروپای شرقی (بلاروس، روسیه، اوکراین) و افغانستان بودند.
مهاجمان موفق شدند به ده ها شرکت نفوذ کنند و حتی در برخی از آنها زیرساخت های فناوری اطلاعات را به طور کامل تصرف کرده و کنترل سیستم های مدیریت راه حل های امنیتی را در دست بگیرند.
تجزیه و تحلیل اطلاعات به دست آمده در جریان بررسی حوادث حاکی از آن است که هدف از این مجموعه حملات، جاسوسی سایبری بوده است.
نتیجه گیری
نتایج این مطالعه نشان می دهد که فیشینگ نیزه ای یکی از مهم ترین تهدیدها برای شرکت های صنعتی و سازمان های دولتی است. اساساً، مهاجمان از بدافزارهای درپشتی شناخته شده قبلی و همچنین تکنیک های استاندارد برای توسعه حمله و دور زدن تشخیص راه حل های ضد ویروس استفاده می کردند. در همان زمان، آنها توانستند به ده ها شرکت نفوذ کنند و حتی در برخی از آنها زیرساخت فناوری اطلاعات را به طور کامل تصرف کرده و کنترل سیستم های مدیریت راه حل های امنیتی را در دست بگیرند.
احتمال تکرار چنین حملاتی در آینده را بسیار زیاد می دانیم. شرکت های صنعتی و سازمان های دولتی باید کار گسترده ای برای دفع موفقیت آمیز چنین حملاتی انجام دهند.
✅توصیه ها
1️⃣اطمینان حاصل کنید که همه سرورها و ایستگاه های کاری نرم افزار امنیتی نصب کرده اند که از مدیریت متمرکز پشتیبانی می کند که پایگاه داده های ضد ویروس و ماژول های برنامه آن به روز هستند.
2️⃣ اطمینان حاصل کنید که تمام اجزای ضد بدافزار در همه سیستمها فعال هستند و خطمشی برای جلوگیری از غیرفعال کردن حفاظت بدون وارد کردن رمز عبور سرپرست تنظیم شده است.
3️⃣بررسی کنید که خطمشیهای Active Directory شامل محدودیتهایی برای تلاشهای کاربر برای ورود به سیستم هستند. کاربران فقط باید مجاز به ورود به سیستم هایی باشند که برای انجام وظایف شغلی خود نیاز به دسترسی دارند.
4️⃣محدود کردن (به حداقل رساندن) اتصالات شبکه بین سیستم ها در شبکه OT، از جمله VPN ها. اتصالات را در تمام پورت هایی که در فرآیند مورد نیاز نیستند مسدود کنید.
5️⃣در صورت امکان، روابط اعتماد بین دامنه های سازمانی را محدود کنید و تعداد کاربرانی را که دارای حقوق سرپرست دامنه هستند به حداقل برسانید.
6️⃣آموزش کارکنان سازمان در مورد قوانین کار ایمن با اینترنت، ایمیل و سایر کانال های ارتباطی، به ویژه، توضیح عواقب احتمالی بارگیری و اجرای فایل ها از منابع تأیید نشده. به مسائل شناسایی ایمیل های فیشینگ و همچنین اقدامات ایمن برای کار با اسناد مایکروسافت آفیس توجه کنید.
7️⃣فقط در صورت لزوم برای انجام وظایف شغلی خود از حساب های سرپرست محلی و سرپرست دامنه استفاده کنید.
8️⃣توانایی برنامه ها را برای به دست آوردن امتیازات SeDebugPrivilege (در صورت امکان) محدود کنید.
9️⃣یک خط مشی رمز عبور را اجرا کنید که الزامات پیچیدگی رمز عبور را تعیین می کند و نیاز به تغییر منظم رمزهای عبور دارد.
🔟استفاده از محصولات و خدمات «تشخیص و پاسخ مدیریت شده» را برای دسترسی سریع به دانش و تجربه امنیت اطلاعات سطح بالا در نظر بگیرید.
1️⃣1️⃣از راهکار های حفاظتی مخصوص کارخانه های صنعتی استفاده کنید.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
مهاجمان موفق شدند به ده ها شرکت نفوذ کنند و حتی در برخی از آنها زیرساخت های فناوری اطلاعات را به طور کامل تصرف کرده و کنترل سیستم های مدیریت راه حل های امنیتی را در دست بگیرند.
تجزیه و تحلیل اطلاعات به دست آمده در جریان بررسی حوادث حاکی از آن است که هدف از این مجموعه حملات، جاسوسی سایبری بوده است.
نتیجه گیری
نتایج این مطالعه نشان می دهد که فیشینگ نیزه ای یکی از مهم ترین تهدیدها برای شرکت های صنعتی و سازمان های دولتی است. اساساً، مهاجمان از بدافزارهای درپشتی شناخته شده قبلی و همچنین تکنیک های استاندارد برای توسعه حمله و دور زدن تشخیص راه حل های ضد ویروس استفاده می کردند. در همان زمان، آنها توانستند به ده ها شرکت نفوذ کنند و حتی در برخی از آنها زیرساخت فناوری اطلاعات را به طور کامل تصرف کرده و کنترل سیستم های مدیریت راه حل های امنیتی را در دست بگیرند.
احتمال تکرار چنین حملاتی در آینده را بسیار زیاد می دانیم. شرکت های صنعتی و سازمان های دولتی باید کار گسترده ای برای دفع موفقیت آمیز چنین حملاتی انجام دهند.
✅توصیه ها
1️⃣اطمینان حاصل کنید که همه سرورها و ایستگاه های کاری نرم افزار امنیتی نصب کرده اند که از مدیریت متمرکز پشتیبانی می کند که پایگاه داده های ضد ویروس و ماژول های برنامه آن به روز هستند.
2️⃣ اطمینان حاصل کنید که تمام اجزای ضد بدافزار در همه سیستمها فعال هستند و خطمشی برای جلوگیری از غیرفعال کردن حفاظت بدون وارد کردن رمز عبور سرپرست تنظیم شده است.
3️⃣بررسی کنید که خطمشیهای Active Directory شامل محدودیتهایی برای تلاشهای کاربر برای ورود به سیستم هستند. کاربران فقط باید مجاز به ورود به سیستم هایی باشند که برای انجام وظایف شغلی خود نیاز به دسترسی دارند.
4️⃣محدود کردن (به حداقل رساندن) اتصالات شبکه بین سیستم ها در شبکه OT، از جمله VPN ها. اتصالات را در تمام پورت هایی که در فرآیند مورد نیاز نیستند مسدود کنید.
5️⃣در صورت امکان، روابط اعتماد بین دامنه های سازمانی را محدود کنید و تعداد کاربرانی را که دارای حقوق سرپرست دامنه هستند به حداقل برسانید.
6️⃣آموزش کارکنان سازمان در مورد قوانین کار ایمن با اینترنت، ایمیل و سایر کانال های ارتباطی، به ویژه، توضیح عواقب احتمالی بارگیری و اجرای فایل ها از منابع تأیید نشده. به مسائل شناسایی ایمیل های فیشینگ و همچنین اقدامات ایمن برای کار با اسناد مایکروسافت آفیس توجه کنید.
7️⃣فقط در صورت لزوم برای انجام وظایف شغلی خود از حساب های سرپرست محلی و سرپرست دامنه استفاده کنید.
8️⃣توانایی برنامه ها را برای به دست آوردن امتیازات SeDebugPrivilege (در صورت امکان) محدود کنید.
9️⃣یک خط مشی رمز عبور را اجرا کنید که الزامات پیچیدگی رمز عبور را تعیین می کند و نیاز به تغییر منظم رمزهای عبور دارد.
🔟استفاده از محصولات و خدمات «تشخیص و پاسخ مدیریت شده» را برای دسترسی سریع به دانش و تجربه امنیت اطلاعات سطح بالا در نظر بگیرید.
1️⃣1️⃣از راهکار های حفاظتی مخصوص کارخانه های صنعتی استفاده کنید.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
یک منبع جالب که مناطق جغرافیایی را نشان می دهد که GPS به طور فعال مسدود یا مختل شده است. می تواند هنگام برنامه ریزی برای بهره برداری از تاسیسات CII که از موقعیت جغرافیایی ماهواره ای استفاده می کنند مفید باشد
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
gpsjam.org
GPSJAM GPS/GNSS Interference Map
Maps showing daily possible GPS interference.
زیمنس و اشنایدر الکتریک مجموعاً 11 آسیبپذیری را اصلاح کردهاند و هر کدام تنها چهار بولتن منتشر کردهاند.
چهار بولتن زیمنس هفت حفره امنیتی را توصیف می کند. این شرکت گفت که برخی از سوئیچها، روترها، دستگاههای امنیتی و دستگاههای بیسیم SCALANCE تحت تأثیر سه آسیبپذیری قرار دارند.
یک نقص مهم می تواند به یک مهاجم احراز هویت شده با امتیازات اداری اجازه دهد تا کد تزریق کند یا پوسته ریشه ایجاد کند.
یک آسیبپذیری با شدت بالا میتواند به یک مهاجم تایید نشده اجازه دهد تا از راه دور یک وضعیت DoS را راهاندازی کند، در حالی که یک مشکل متوسط میتواند برای حملات XSS توسط یک مهاجم اداری مورد سوء استفاده قرار گیرد.
در عین حال، رفع مشکل در حال حاضر فقط برای دستگاههای SCALANCE SC-600 در دسترس است و برخی از محصولات آسیبدیده اصلاً این تعمیر را دریافت نمیکنند.
دو آسیب پذیری جدی در نرم افزار Teamcenter رفع شده است که می تواند منجر به RCE یا DoS شود.
این شرکت به مشتریان در مورد یک آسیبپذیری متوسط در افشای اطلاعات در Simcenter STAR-CCM و یکی دیگر از مشکلات بای پس احراز هویت متوسط در ماژول وب سرور SICAM A8000 هشدار داده است.
آسیبپذیری Simcenter هنوز برطرف نشده است و علاوه بر این، زیمنس برنامهای برای رفع آسیبپذیری SICAM نیز ندارد.
چهار بولتن اشنایدر الکتریک یک آسیبپذیری را توصیف میکنند.
مهمترین توصیهها یک موضوع مهم را در EcoStruxure Control Expert، EcoStruxure Process Expert و Modicon M580 و M340 توضیح میدهند.
حفره امنیتی با مکانیزم ضعیف بازیابی رمز عبور مرتبط است و می تواند به مهاجم اجازه دسترسی غیرمجاز به دستگاه را بدهد.
در محصولات Modicon PLC و PAC، سازنده یک آسیبپذیری جدی را که میتواند منجر به DoS شود، و همچنین آسیبپذیری دیگری را که میتواند منجر به افشای اطلاعات حساس، مانند هش رمز عبور و دادههای پروژه شود، برطرف کرده است.
EcoStruxure Control Expert یک آسیب پذیری DoS را برطرف کرده است که می تواند با استفاده از فایل های پروژه ساخته شده ویژه مورد سوء استفاده قرار گیرد.
بر خلاف یک همکار، اشنایدر الکتریک وصله ها و اقدامات کاهشی برای هر آسیب پذیری منتشر کرده است.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
چهار بولتن زیمنس هفت حفره امنیتی را توصیف می کند. این شرکت گفت که برخی از سوئیچها، روترها، دستگاههای امنیتی و دستگاههای بیسیم SCALANCE تحت تأثیر سه آسیبپذیری قرار دارند.
یک نقص مهم می تواند به یک مهاجم احراز هویت شده با امتیازات اداری اجازه دهد تا کد تزریق کند یا پوسته ریشه ایجاد کند.
یک آسیبپذیری با شدت بالا میتواند به یک مهاجم تایید نشده اجازه دهد تا از راه دور یک وضعیت DoS را راهاندازی کند، در حالی که یک مشکل متوسط میتواند برای حملات XSS توسط یک مهاجم اداری مورد سوء استفاده قرار گیرد.
در عین حال، رفع مشکل در حال حاضر فقط برای دستگاههای SCALANCE SC-600 در دسترس است و برخی از محصولات آسیبدیده اصلاً این تعمیر را دریافت نمیکنند.
دو آسیب پذیری جدی در نرم افزار Teamcenter رفع شده است که می تواند منجر به RCE یا DoS شود.
این شرکت به مشتریان در مورد یک آسیبپذیری متوسط در افشای اطلاعات در Simcenter STAR-CCM و یکی دیگر از مشکلات بای پس احراز هویت متوسط در ماژول وب سرور SICAM A8000 هشدار داده است.
آسیبپذیری Simcenter هنوز برطرف نشده است و علاوه بر این، زیمنس برنامهای برای رفع آسیبپذیری SICAM نیز ندارد.
چهار بولتن اشنایدر الکتریک یک آسیبپذیری را توصیف میکنند.
مهمترین توصیهها یک موضوع مهم را در EcoStruxure Control Expert، EcoStruxure Process Expert و Modicon M580 و M340 توضیح میدهند.
حفره امنیتی با مکانیزم ضعیف بازیابی رمز عبور مرتبط است و می تواند به مهاجم اجازه دسترسی غیرمجاز به دستگاه را بدهد.
در محصولات Modicon PLC و PAC، سازنده یک آسیبپذیری جدی را که میتواند منجر به DoS شود، و همچنین آسیبپذیری دیگری را که میتواند منجر به افشای اطلاعات حساس، مانند هش رمز عبور و دادههای پروژه شود، برطرف کرده است.
EcoStruxure Control Expert یک آسیب پذیری DoS را برطرف کرده است که می تواند با استفاده از فایل های پروژه ساخته شده ویژه مورد سوء استفاده قرار گیرد.
بر خلاف یک همکار، اشنایدر الکتریک وصله ها و اقدامات کاهشی برای هر آسیب پذیری منتشر کرده است.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Siemens
Siemens ProductCERT and Siemens CERT
The central expert teams for immediate response to security threats and issues affecting Siemens products, solutions, services, or infrastructure.
هکرها سعی کردند یک تامین کننده آب بریتانیایی را تحت فشار قرار دهند و ادعا کردند که سیستم های او هک شده است.
South Staffordshire Water روزانه 330 میلیون لیتر آب آشامیدنی را برای 1.6 میلیون مصرف کننده تامین می کند. این شرکت اخیراً بیانیهای صادر کرد که در آن شکستی که زیرساخت فناوری اطلاعات پس از یک حمله سایبری را تحت تأثیر قرار داد تأیید کرد.
سیستم های امنیتی و توزیع آب با وجود از کار افتادن سیستم های فناوری اطلاعات به کار خود ادامه می دهند. مشتریان شرکت های تابعه کمبریج واتر و ساوت استفز واتر هیچ وقفه ای در تامین آب خود تجربه نمی کنند. تمامی تیم های خدماتی نیز به طور عادی کار می کنند.
در همین حال، باند باج افزار Clop در وب سایت DLS خود تیمز واتر را هدف قرار داده است و ادعا می کند که به سیستم های SCADA دسترسی پیدا کرده است که هکرها می توانند با دستکاری آنها کیفیت آب را تغییر داده و باعث قطعی آب برای 15 میلیون مصرف کننده شوند.
تیمز واتر بزرگترین اپراتور آب در بریتانیا است که به لندن بزرگ و مناطق اطراف رودخانه تیمز خدمات رسانی می کند.
هکرها به تیمز واتر در مورد شکاف های موجود در امنیت اطلاعات اطلاع دادند و سیستم های آن را رمزگذاری نکردند و خود را به آشنایی با 5 ترابایت از سیستم های در معرض خطر محدود کردند.
پس از به بن بست رسیدن مذاکرات باج، مهاجمان اولین نمونه از داده های سرقت شده را منتشر کردند که شامل گذرنامه، گواهینامه رانندگی، اسکرین شات از سیستم های تصفیه آب SCADA و سایر اطلاعات می شود.
تیمز واتر رسماً تمام استدلال های اخاذی ها را رد کرد و کلوپ را به یک فریب سایبری متهم کرد. از این گذشته، در میان شواهد هک Clop، آنها صفحه گسترده ای با نام های کاربری و رمزهای عبور مربوط به South Staff Water و South Staffordshire ارائه کردند.
بسیار محتمل است که کلوپ یا طعمه خود را اشتباه شناسایی کرده باشد یا تصمیم گرفته باشد ماهی بزرگ تری بگیرد. در مواجهه با کمبود آب در لندن، این ترفند ممکن بود جواب دهد.
در هر صورت، تیمز واتر باید محتاط باشد، زیرا این انتشار تنها می تواند مقدمه ای برای یک حادثه سایبری در آینده باشد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
South Staffordshire Water روزانه 330 میلیون لیتر آب آشامیدنی را برای 1.6 میلیون مصرف کننده تامین می کند. این شرکت اخیراً بیانیهای صادر کرد که در آن شکستی که زیرساخت فناوری اطلاعات پس از یک حمله سایبری را تحت تأثیر قرار داد تأیید کرد.
سیستم های امنیتی و توزیع آب با وجود از کار افتادن سیستم های فناوری اطلاعات به کار خود ادامه می دهند. مشتریان شرکت های تابعه کمبریج واتر و ساوت استفز واتر هیچ وقفه ای در تامین آب خود تجربه نمی کنند. تمامی تیم های خدماتی نیز به طور عادی کار می کنند.
در همین حال، باند باج افزار Clop در وب سایت DLS خود تیمز واتر را هدف قرار داده است و ادعا می کند که به سیستم های SCADA دسترسی پیدا کرده است که هکرها می توانند با دستکاری آنها کیفیت آب را تغییر داده و باعث قطعی آب برای 15 میلیون مصرف کننده شوند.
تیمز واتر بزرگترین اپراتور آب در بریتانیا است که به لندن بزرگ و مناطق اطراف رودخانه تیمز خدمات رسانی می کند.
هکرها به تیمز واتر در مورد شکاف های موجود در امنیت اطلاعات اطلاع دادند و سیستم های آن را رمزگذاری نکردند و خود را به آشنایی با 5 ترابایت از سیستم های در معرض خطر محدود کردند.
پس از به بن بست رسیدن مذاکرات باج، مهاجمان اولین نمونه از داده های سرقت شده را منتشر کردند که شامل گذرنامه، گواهینامه رانندگی، اسکرین شات از سیستم های تصفیه آب SCADA و سایر اطلاعات می شود.
تیمز واتر رسماً تمام استدلال های اخاذی ها را رد کرد و کلوپ را به یک فریب سایبری متهم کرد. از این گذشته، در میان شواهد هک Clop، آنها صفحه گسترده ای با نام های کاربری و رمزهای عبور مربوط به South Staff Water و South Staffordshire ارائه کردند.
بسیار محتمل است که کلوپ یا طعمه خود را اشتباه شناسایی کرده باشد یا تصمیم گرفته باشد ماهی بزرگ تری بگیرد. در مواجهه با کمبود آب در لندن، این ترفند ممکن بود جواب دهد.
در هر صورت، تیمز واتر باید محتاط باشد، زیرا این انتشار تنها می تواند مقدمه ای برای یک حادثه سایبری در آینده باشد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
بزرگترین توزیع کننده گاز طبیعی یونان DESFA روز شنبه تایید کرد که قربانی یک حادثه سایبری باج افزار شده است.
در یک بیانیه عمومی، DESFA توضیح داد که هکرها سعی کردند به شبکه اش نفوذ کنند، اما با پاسخ سریع بخش فناوری اطلاعات خنثی شدند.
در واقع، باجافزار به شبکه نفوذ کرده، دادهها را استخراج کرده و سپس رمزگذاری میکند.
پس از آن، دسفا بسیاری از خدمات آنلاین خود را خاموش کرد و متخصصان در حال کار بر روی بازسازی کامل آنها هستند.
دسفا به مصرف کنندگان اطمینان می دهد که این حادثه تاثیری بر گازرسانی نخواهد داشت و تمامی شبکه های انتقال گاز به صورت عادی کار می کنند.
پلیس سایبری محلی، سازمان ملی حفاظت از داده ها، وزارت دفاع و وزارت انرژی به تحقیقات در مورد این حادثه ملحق شده اند، که در حال حاضر نشان می دهد که نسخه رسمی ممکن است به اندازه کافی با شرایط واقعی متفاوت باشد.
تایید حمله پس از آن صورت گرفت که Ragnar Locker یک قربانی را در DLS خود در روز جمعه با مجموعه کوچکی از فایلهای دزدیده شده و نه کاملاً محرمانه قرار داد.
علاوه بر این، هکرها خاطرنشان کردند که آسیبپذیریهای متعددی را در سیستم امنیتی DESFA کشف کردهاند و احتمالاً به عنوان بخشی از حمله سایبری خود، آنها را از این واقعیت آگاه کردهاند و پس از نادیده گرفتن، عملیات سنتی خود را انجام میدهند.
دسفا همچنین می گوید با مجرمان سایبری درباره باج گیری مذاکره نخواهد کرد.
با این حال، با توجه به تشدید بحران انرژی در اروپا، ثابت قدم بودن تامین کننده یونانی ممکن است یک داستان عمومی و همچنین اظهارات رسمی تشویق کننده باشد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
در یک بیانیه عمومی، DESFA توضیح داد که هکرها سعی کردند به شبکه اش نفوذ کنند، اما با پاسخ سریع بخش فناوری اطلاعات خنثی شدند.
در واقع، باجافزار به شبکه نفوذ کرده، دادهها را استخراج کرده و سپس رمزگذاری میکند.
پس از آن، دسفا بسیاری از خدمات آنلاین خود را خاموش کرد و متخصصان در حال کار بر روی بازسازی کامل آنها هستند.
دسفا به مصرف کنندگان اطمینان می دهد که این حادثه تاثیری بر گازرسانی نخواهد داشت و تمامی شبکه های انتقال گاز به صورت عادی کار می کنند.
پلیس سایبری محلی، سازمان ملی حفاظت از داده ها، وزارت دفاع و وزارت انرژی به تحقیقات در مورد این حادثه ملحق شده اند، که در حال حاضر نشان می دهد که نسخه رسمی ممکن است به اندازه کافی با شرایط واقعی متفاوت باشد.
تایید حمله پس از آن صورت گرفت که Ragnar Locker یک قربانی را در DLS خود در روز جمعه با مجموعه کوچکی از فایلهای دزدیده شده و نه کاملاً محرمانه قرار داد.
علاوه بر این، هکرها خاطرنشان کردند که آسیبپذیریهای متعددی را در سیستم امنیتی DESFA کشف کردهاند و احتمالاً به عنوان بخشی از حمله سایبری خود، آنها را از این واقعیت آگاه کردهاند و پس از نادیده گرفتن، عملیات سنتی خود را انجام میدهند.
دسفا همچنین می گوید با مجرمان سایبری درباره باج گیری مذاکره نخواهد کرد.
با این حال، با توجه به تشدید بحران انرژی در اروپا، ثابت قدم بودن تامین کننده یونانی ممکن است یک داستان عمومی و همچنین اظهارات رسمی تشویق کننده باشد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
سرویسهای VPN بیش از ۲ سال است که اطلاعات کاربران iOS را لو میدهند
یک مطالعه جدید نشان داده است که اشخاص ثالث می توانند ترافیک و آدرس IP شما را ببینند.
بر اساس یک مطالعه جدید، دستگاههای iOS مقداری از ترافیک شبکه را به خارج از تونل VPN هدایت میکنند. مایکل هوروویتز محقق امنیت سایبری در این مورد در وبلاگ خود نوشت .
جلسات و اتصالاتی که قبل از فعالسازی VPN ایجاد شدهاند قطع نمیشوند و با کمک گزارش پیشرفته روتر، همچنان میتوانند در زمانی که تونل VPN فعال است، دادهها را به خارج از تونل ارسال کنند.
به عبارت دیگر، داده ها دستگاه را خارج از تونل VPN ترک می کنند و این یک نشت کامل داده است.
طبق گزارشهای هورویتز، یک iPad متصل به VPN با ارائهدهنده VPN (37.19.214.1) و Apple Push (17.57.144.12) تماس میگیرد. اتصال Apple خارج از VPN است و در صورت مشاهده ISP یا سایر طرفها، میتواند آدرس IP را به طور بالقوه فاش کند.
شرکت حریم خصوصی Proton قبلاً یک آسیب پذیری مشابه را گزارش کرده است که حداقل در iOS 13.3.1 ظاهر شده است. ProtonVPN در آن زمان اشاره کرد که VPN معمولاً تمام اتصالات موجود را می بندد و آنها را در داخل تونل VPN باز می کند، اما این اتفاق در iOS رخ نداد. بیشتر اتصالات موجود به داخل تونل ختم میشوند، اما برخی مانند سرویس اعلان فشار اپل، ممکن است ساعتها طول بکشد.
هوروویتز برنامه ProtonVPN را در اواسط سال 2022 روی یک آیپد با سیستم عامل iOS 15.4.1 آزمایش کرد و دریافت که همچنان امکان اتصال مداوم و بدون تونل به سرویس فشار اپل را میدهد. هوروویتز گفت، ویژگی Kill Switch ProtonVPN، که در صورت از بین رفتن تونل VPN، تمام ترافیک شبکه را مسدود می کند، نشت را متوقف نکرد.
و آزمایش بر روی iOS 15.5 با یک ارائه دهنده OVPN VPN که پروتکل WireGuard را اجرا می کند نشان داد که iPad او همچنان به خدمات اپل و خدمات وب آمازون درخواست می دهد.
ProtonVPN یک راه حل پیشنهاد کرد: به یک سرور VPN متصل شوید، حالت هواپیما را روشن کنید، سپس آن را خاموش کنید. سایر اتصالات شما نیز باید در داخل تونل VPN دوباره وصل شوند، اما ProtonVPN این را 100٪ تضمین نمی کند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
یک مطالعه جدید نشان داده است که اشخاص ثالث می توانند ترافیک و آدرس IP شما را ببینند.
بر اساس یک مطالعه جدید، دستگاههای iOS مقداری از ترافیک شبکه را به خارج از تونل VPN هدایت میکنند. مایکل هوروویتز محقق امنیت سایبری در این مورد در وبلاگ خود نوشت .
جلسات و اتصالاتی که قبل از فعالسازی VPN ایجاد شدهاند قطع نمیشوند و با کمک گزارش پیشرفته روتر، همچنان میتوانند در زمانی که تونل VPN فعال است، دادهها را به خارج از تونل ارسال کنند.
به عبارت دیگر، داده ها دستگاه را خارج از تونل VPN ترک می کنند و این یک نشت کامل داده است.
طبق گزارشهای هورویتز، یک iPad متصل به VPN با ارائهدهنده VPN (37.19.214.1) و Apple Push (17.57.144.12) تماس میگیرد. اتصال Apple خارج از VPN است و در صورت مشاهده ISP یا سایر طرفها، میتواند آدرس IP را به طور بالقوه فاش کند.
شرکت حریم خصوصی Proton قبلاً یک آسیب پذیری مشابه را گزارش کرده است که حداقل در iOS 13.3.1 ظاهر شده است. ProtonVPN در آن زمان اشاره کرد که VPN معمولاً تمام اتصالات موجود را می بندد و آنها را در داخل تونل VPN باز می کند، اما این اتفاق در iOS رخ نداد. بیشتر اتصالات موجود به داخل تونل ختم میشوند، اما برخی مانند سرویس اعلان فشار اپل، ممکن است ساعتها طول بکشد.
هوروویتز برنامه ProtonVPN را در اواسط سال 2022 روی یک آیپد با سیستم عامل iOS 15.4.1 آزمایش کرد و دریافت که همچنان امکان اتصال مداوم و بدون تونل به سرویس فشار اپل را میدهد. هوروویتز گفت، ویژگی Kill Switch ProtonVPN، که در صورت از بین رفتن تونل VPN، تمام ترافیک شبکه را مسدود می کند، نشت را متوقف نکرد.
و آزمایش بر روی iOS 15.5 با یک ارائه دهنده OVPN VPN که پروتکل WireGuard را اجرا می کند نشان داد که iPad او همچنان به خدمات اپل و خدمات وب آمازون درخواست می دهد.
ProtonVPN یک راه حل پیشنهاد کرد: به یک سرور VPN متصل شوید، حالت هواپیما را روشن کنید، سپس آن را خاموش کنید. سایر اتصالات شما نیز باید در داخل تونل VPN دوباره وصل شوند، اما ProtonVPN این را 100٪ تضمین نمی کند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
.png){kind=link}
بچه گربه جذاب دست به یک بدافزار جدید زد
هکرهای دولتی ایرانی ابزاری را به زرادخانه خود اضافه کرده اند که داده ها را از حساب های جیمیل، یاهو! و Microsoft Outlook استخراج می کند
گروه تحلیل تهدیدات گوگل (TAG) بدافزار را HYPERSCRAPE نامگذاری کرد. به گفته کارشناسان، این بدافزار به طور فعال در حال توسعه است و حتی علیه ده ها حساب کاربری ایرانی نیز استفاده شده است. ابزار هک اولین بار در دسامبر 2021 کشف شد. قبل از کار با HYPERSCRAPE، مهاجم باید اعتبار قربانی را دریافت کند یا جلسه کاربر قربانی را ربوده باشد.
این ابزار با دات نت نوشته شده و بر روی سیستم های ویندوز اجرا می شود. HYPERSCRAPE دارای تمام عملکردهای لازم برای جمع آوری و استخراج محتویات صندوق پستی قربانی و همچنین حذف ایمیل هایی از سرویس امنیتی Google است که به قربانی در مورد فعالیت مشکوک هشدار می دهد.
اگر ایمیل توسط قربانی خوانده نشده باشد، ابتدا ابزار باز می شود و ایمیل را به صورت فایل .eml دانلود می کند و پس از آن آن را به عنوان خوانده نشده علامت گذاری می کند.
شایان ذکر است که نسخههای اولیه HYPERSCRAPE این گزینه را داشتند که دادهها را از Google Takeout درخواست کنند، ویژگی که به کاربران اجازه میدهد دادههای خود را به یک فایل بایگانی قابل دانلود صادر کنند.
مشخص است که تمام حساب های تحت تأثیر حمله HYPERSCRAPE بازیابی شده اند و صاحبان آنها از این حادثه مطلع شده اند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
هکرهای دولتی ایرانی ابزاری را به زرادخانه خود اضافه کرده اند که داده ها را از حساب های جیمیل، یاهو! و Microsoft Outlook استخراج می کند
گروه تحلیل تهدیدات گوگل (TAG) بدافزار را HYPERSCRAPE نامگذاری کرد. به گفته کارشناسان، این بدافزار به طور فعال در حال توسعه است و حتی علیه ده ها حساب کاربری ایرانی نیز استفاده شده است. ابزار هک اولین بار در دسامبر 2021 کشف شد. قبل از کار با HYPERSCRAPE، مهاجم باید اعتبار قربانی را دریافت کند یا جلسه کاربر قربانی را ربوده باشد.
این ابزار با دات نت نوشته شده و بر روی سیستم های ویندوز اجرا می شود. HYPERSCRAPE دارای تمام عملکردهای لازم برای جمع آوری و استخراج محتویات صندوق پستی قربانی و همچنین حذف ایمیل هایی از سرویس امنیتی Google است که به قربانی در مورد فعالیت مشکوک هشدار می دهد.
اگر ایمیل توسط قربانی خوانده نشده باشد، ابتدا ابزار باز می شود و ایمیل را به صورت فایل .eml دانلود می کند و پس از آن آن را به عنوان خوانده نشده علامت گذاری می کند.
شایان ذکر است که نسخههای اولیه HYPERSCRAPE این گزینه را داشتند که دادهها را از Google Takeout درخواست کنند، ویژگی که به کاربران اجازه میدهد دادههای خود را به یک فایل بایگانی قابل دانلود صادر کنند.
مشخص است که تمام حساب های تحت تأثیر حمله HYPERSCRAPE بازیابی شده اند و صاحبان آنها از این حادثه مطلع شده اند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Google
New Iranian APT data extraction tool
As part of TAG's mission to counter serious threats to Google and our users, we've analyzed a range of persistent threats including APT35 and Charming Kitten, …
غول نفت و گاز ایتالیایی انی که حتی یک چاه در این کشور ندارد اما در آفریقا، روسیه و قزاقستان با موفقیت تولید می کند، مورد حمله سایبری قرار گرفت.
در توضیحات خود، یکی از نمایندگان شرکت تایید کرد که نقضهای امنیتی وجود داشته و مهاجمان به شبکه آن دسترسی پیدا کردهاند، اما این حمله عواقب جزئی داشت، زیرا به سرعت شناسایی شد و اقدامات مناسب انجام شد.
این شرکت این حادثه را به مقامات ایتالیایی گزارش داد و تحقیقات برای تعیین میزان تهدیدات و عواقب آن آغاز شده است. این حمله برای اولین بار توسط بلومبرگ نیوز در روز چهارشنبه گزارش شد که نشان می دهد انی توسط باج افزار مورد حمله قرار گرفته است.
با این حال، هنوز جزئیات فنی در مورد این حمله وجود ندارد و در حال حاضر نمی توان تعیین کرد که مهاجمان چگونه شرکت را هک کرده اند، انگیزه آنها و چه عاملی تهدید کننده در پشت این حمله قرار دارد.
متأسفانه، این تنها حادثه در چند وقت اخیر نیست که بخش انرژی ایتالیا آسیب دیده است. به معنای واقعی کلمه روز دیگر، آژانس انرژی ایتالیایی Gestore dei Servizi Energetici SpA مورد حمله قرار گرفت. علاوه بر این، GSE یک ساختار دولتی است که بازار برق ایتالیا را مدیریت می کند.
جزئیات این حادثه نیز در دست نیست و سایت GSE همچنان از کار افتاده است، اما منابع آگاه گفتند که زیرساخت های شرکت به خطر افتاده است و این بر عملکرد آژانس تأثیر می گذارد.
روزی بدون باج افزار نیست.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
در توضیحات خود، یکی از نمایندگان شرکت تایید کرد که نقضهای امنیتی وجود داشته و مهاجمان به شبکه آن دسترسی پیدا کردهاند، اما این حمله عواقب جزئی داشت، زیرا به سرعت شناسایی شد و اقدامات مناسب انجام شد.
این شرکت این حادثه را به مقامات ایتالیایی گزارش داد و تحقیقات برای تعیین میزان تهدیدات و عواقب آن آغاز شده است. این حمله برای اولین بار توسط بلومبرگ نیوز در روز چهارشنبه گزارش شد که نشان می دهد انی توسط باج افزار مورد حمله قرار گرفته است.
با این حال، هنوز جزئیات فنی در مورد این حمله وجود ندارد و در حال حاضر نمی توان تعیین کرد که مهاجمان چگونه شرکت را هک کرده اند، انگیزه آنها و چه عاملی تهدید کننده در پشت این حمله قرار دارد.
متأسفانه، این تنها حادثه در چند وقت اخیر نیست که بخش انرژی ایتالیا آسیب دیده است. به معنای واقعی کلمه روز دیگر، آژانس انرژی ایتالیایی Gestore dei Servizi Energetici SpA مورد حمله قرار گرفت. علاوه بر این، GSE یک ساختار دولتی است که بازار برق ایتالیا را مدیریت می کند.
جزئیات این حادثه نیز در دست نیست و سایت GSE همچنان از کار افتاده است، اما منابع آگاه گفتند که زیرساخت های شرکت به خطر افتاده است و این بر عملکرد آژانس تأثیر می گذارد.
روزی بدون باج افزار نیست.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
This media is not supported in your browser
VIEW IN TELEGRAM
آمازون بازیگران مشهور هالیوود را برای تبلیغ موضوع احراز هویت چند عاملی استخدام کرده است.
من نمی دانم که آیا خود بازیگران این گزینه را روشن کرده اند؟ و خیلی پیش میاد که اونی که تبلیغ میکنه اصلا از چیزی که تبلیغ میکنه استفاده نمیکنه 😊
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
من نمی دانم که آیا خود بازیگران این گزینه را روشن کرده اند؟ و خیلی پیش میاد که اونی که تبلیغ میکنه اصلا از چیزی که تبلیغ میکنه استفاده نمیکنه 😊
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
سلام به همه!
تجزیه و تحلیل های آماده شده در مورد تهدیدات سایبری برای سه ماهه دوم سال 2022.
تعداد حملات سایبری علیه مؤسسات صنعتی نسبت به سه ماهه اول سال جاری افزایش چشمگیری داشته است. 76 درصد از آنها با استفاده از بدافزار مرتکب شدند که در میان آنها باج افزار پیشتاز بود (61 درصد).
در اغلب موارد، اقدامات مزاحمان منجر به اختلال در شرکت های صنعتی (53%) و درز اطلاعات محرمانه (55%) شده است.
🛡به منظور افزایش سطح حفاظت از شرکت های صنعتی، استفاده از پلتفرم جامع حفاظت از صنعت در برابر تهدیدات سایبری را توصیه می کنیم.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
تجزیه و تحلیل های آماده شده در مورد تهدیدات سایبری برای سه ماهه دوم سال 2022.
تعداد حملات سایبری علیه مؤسسات صنعتی نسبت به سه ماهه اول سال جاری افزایش چشمگیری داشته است. 76 درصد از آنها با استفاده از بدافزار مرتکب شدند که در میان آنها باج افزار پیشتاز بود (61 درصد).
در اغلب موارد، اقدامات مزاحمان منجر به اختلال در شرکت های صنعتی (53%) و درز اطلاعات محرمانه (55%) شده است.
🛡به منظور افزایش سطح حفاظت از شرکت های صنعتی، استفاده از پلتفرم جامع حفاظت از صنعت در برابر تهدیدات سایبری را توصیه می کنیم.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
دانشمندان ژاپنی یک سوسک سایبورگ برای کار نجات ساخته اند
دانشمندان برای این آزمایش از یک سوسک ماداگاسکار استفاده کردند که روی آن یک ماژول کنترل بیسیم با باتری لیتیوم پلیمری نصب کردند.
مهندسان ژاپنی شرکت تحقیقاتی Riken Cluster برای تحقیقات پیشگام، سوسکها را به وسایل الکترونیکی پوشیدنی برای کنترل از راه دور حشرات مجهز کردهاند. عناصر رباتیک در حرکت سوسک ها دخالت نمی کنند. شرحی از فناوری حاصل در Flexible Electronics ظاهر شد.
این حشره را می توان با استفاده از یک ماژول بی سیم که توسط پنل های خورشیدی تغذیه می شود، از راه دور کنترل کرد.
طول سوسک تنها شش سانتی متر است و ماژول با یک کوله پشتی به آن متصل می شود. شکل حشره بر روی یک نمونه خاص مدل شده و بر روی یک چاپگر سه بعدی از یک پلیمر الاستیک چاپ شده است.
همانطور که توسط محققان تصور شده است، این حشره می تواند به اجسام صعب العبور فرستاده شود و از آن برای بازرسی مناطق خطرناک و همچنین برای نظارت بر محیط استفاده شود
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی مجازاست
https://t.me/ics_cert
دانشمندان برای این آزمایش از یک سوسک ماداگاسکار استفاده کردند که روی آن یک ماژول کنترل بیسیم با باتری لیتیوم پلیمری نصب کردند.
مهندسان ژاپنی شرکت تحقیقاتی Riken Cluster برای تحقیقات پیشگام، سوسکها را به وسایل الکترونیکی پوشیدنی برای کنترل از راه دور حشرات مجهز کردهاند. عناصر رباتیک در حرکت سوسک ها دخالت نمی کنند. شرحی از فناوری حاصل در Flexible Electronics ظاهر شد.
این حشره را می توان با استفاده از یک ماژول بی سیم که توسط پنل های خورشیدی تغذیه می شود، از راه دور کنترل کرد.
طول سوسک تنها شش سانتی متر است و ماژول با یک کوله پشتی به آن متصل می شود. شکل حشره بر روی یک نمونه خاص مدل شده و بر روی یک چاپگر سه بعدی از یک پلیمر الاستیک چاپ شده است.
همانطور که توسط محققان تصور شده است، این حشره می تواند به اجسام صعب العبور فرستاده شود و از آن برای بازرسی مناطق خطرناک و همچنین برای نظارت بر محیط استفاده شود
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی مجازاست
https://t.me/ics_cert
مایکروسافت: هکرهای ایرانی سیستم های ویندوز را با استفاده از BitLocker رمزگذاری می کنند
مایکروسافت میگوید یک گروه تهدید دولتی ایرانی که با نام DEV-0270 (با نام مستعار Nemesis Kitten) ردیابی میکند، از ویژگی BitLocker Windows در حملات برای رمزگذاری سیستمهای قربانیان سوء استفاده کرده است.
تیمهای اطلاعاتی تهدید ردموند دریافتند که این گروه به سرعت از آسیبپذیریهای امنیتی جدید فاش شده سوء استفاده میکند و به طور گسترده از باینریهای زنده خارج از زمین (LOLBIN) در حملات استفاده میکند.
CISA به آژانسها دستور میدهد تا نقصهای Chrome، D-Link مورد استفاده در حملات را اصلاح کنند
اطلاعات تهدید امنیتی مایکروسافت توضیح داد: "DEV-0270 با استفاده از دستورات setup.bat برای فعال کردن رمزگذاری BitLocker، که منجر به غیر فعال شدن هاست می شود، مشاهده شده است."
برای ایستگاه های کاری، این گروه از DiskCryptor استفاده می کند، یک سیستم رمزگذاری دیسک کامل منبع باز برای ویندوز که امکان رمزگذاری کل هارد دیسک دستگاه را فراهم می کند.
مشاهده شده است که از قربانیان خواسته است تا 8000 دلار برای کلیدهای رمزگشایی پس از حملات موفقیت آمیز بپردازند.
ردموند میگوید این یک زیرگروه از گروه جاسوسی سایبری تحت حمایت ایران (با نام مستعار Charming Kitten و APT35) است که به دلیل هدف قرار دادن و جمعآوری اطلاعات از قربانیان برجسته مرتبط با دولتها، سازمانهای غیردولتی و سازمانهای دفاعی در سراسر جهان شناخته میشود.
مایکروسافت بر اساس «همپوشانیهای زیرساختهای متعدد» میگوید که این گروه توسط یک شرکت ایرانی که با دو نام مستعار شناخته میشود اداره میشود: Secnerd (secnerd[.]ir) و Lifeweb (lifeweb[.]it).
ردموند افزود: «این سازمانها همچنین با ناجی فناوری هوشمند (ناجی فناوری هوشمند) واقع در کرج، ایران مرتبط هستند.
این گروه معمولاً در هدفیابی خود فرصتطلب است: بازیگر اینترنت را اسکن میکند تا سرورها و دستگاههای آسیبپذیر را بیابد و سازمانهایی را که سرورها و دستگاههای آسیبپذیر و قابل کشف دارند، مستعد این حملات میکند.»
از آنجایی که بسیاری از حملات DEV-0270 از آسیبپذیریهای شناختهشده در Exchange (ProxyLogon) یا Fortinet (CVE-2018-13379) سوء استفاده کردهاند، به شرکتها توصیه میشود که سرورهای اینترنتی خود را اصلاح کنند تا تلاشهای بهرهبرداری و حملات بعدی باجافزار را مسدود کنند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
مایکروسافت میگوید یک گروه تهدید دولتی ایرانی که با نام DEV-0270 (با نام مستعار Nemesis Kitten) ردیابی میکند، از ویژگی BitLocker Windows در حملات برای رمزگذاری سیستمهای قربانیان سوء استفاده کرده است.
تیمهای اطلاعاتی تهدید ردموند دریافتند که این گروه به سرعت از آسیبپذیریهای امنیتی جدید فاش شده سوء استفاده میکند و به طور گسترده از باینریهای زنده خارج از زمین (LOLBIN) در حملات استفاده میکند.
CISA به آژانسها دستور میدهد تا نقصهای Chrome، D-Link مورد استفاده در حملات را اصلاح کنند
اطلاعات تهدید امنیتی مایکروسافت توضیح داد: "DEV-0270 با استفاده از دستورات setup.bat برای فعال کردن رمزگذاری BitLocker، که منجر به غیر فعال شدن هاست می شود، مشاهده شده است."
برای ایستگاه های کاری، این گروه از DiskCryptor استفاده می کند، یک سیستم رمزگذاری دیسک کامل منبع باز برای ویندوز که امکان رمزگذاری کل هارد دیسک دستگاه را فراهم می کند.
مشاهده شده است که از قربانیان خواسته است تا 8000 دلار برای کلیدهای رمزگشایی پس از حملات موفقیت آمیز بپردازند.
ردموند میگوید این یک زیرگروه از گروه جاسوسی سایبری تحت حمایت ایران (با نام مستعار Charming Kitten و APT35) است که به دلیل هدف قرار دادن و جمعآوری اطلاعات از قربانیان برجسته مرتبط با دولتها، سازمانهای غیردولتی و سازمانهای دفاعی در سراسر جهان شناخته میشود.
مایکروسافت بر اساس «همپوشانیهای زیرساختهای متعدد» میگوید که این گروه توسط یک شرکت ایرانی که با دو نام مستعار شناخته میشود اداره میشود: Secnerd (secnerd[.]ir) و Lifeweb (lifeweb[.]it).
ردموند افزود: «این سازمانها همچنین با ناجی فناوری هوشمند (ناجی فناوری هوشمند) واقع در کرج، ایران مرتبط هستند.
این گروه معمولاً در هدفیابی خود فرصتطلب است: بازیگر اینترنت را اسکن میکند تا سرورها و دستگاههای آسیبپذیر را بیابد و سازمانهایی را که سرورها و دستگاههای آسیبپذیر و قابل کشف دارند، مستعد این حملات میکند.»
از آنجایی که بسیاری از حملات DEV-0270 از آسیبپذیریهای شناختهشده در Exchange (ProxyLogon) یا Fortinet (CVE-2018-13379) سوء استفاده کردهاند، به شرکتها توصیه میشود که سرورهای اینترنتی خود را اصلاح کنند تا تلاشهای بهرهبرداری و حملات بعدی باجافزار را مسدود کنند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
پونمون: حملات سایبری منجر به افزایش مرگ و میر در بیمارستان ها می شود
حملات سایبری به مراکز پزشکی یک اتفاق تقریباً ثابت در ایالات متحده است.
حملات سایبری به مراکز پزشکی، که تقریباً به طور مداوم در ایالات متحده رخ می دهد، اغلب منجر به افزایش نرخ مرگ و میر بیماران می شود.
این مطالعه که توسط مؤسسه پونمون، یک اندیشکده مستقر در واشنگتن دی سی انجام شد، با بیش از 600 متخصص فناوری اطلاعات از بیش از 100 موسسه مراقبت های بهداشتی مصاحبه کرد. نتایج این مطالعه ملموسترین شواهد تا به امروز را ارائه میکند که نشان میدهد هک مداوم مراکز پزشکی ایالات متحده منجر به بدتر شدن کیفیت مراقبت از بیماران و افزایش احتمال مرگ آنها میشود.
دو سوم از پاسخ دهندگانی که حملات باج افزار را تجربه کردند ، گفتند که چنین حملاتی مراقبت از بیمار را مختل می کند. 59 درصد از افراد مورد بررسی افزایش طول مدت اقامت بیماران در بیمارستان را گزارش کردند که منجر به اضافه بار منابع شد. نزدیک به یک چهارم گفتند که این حملات منجر به افزایش تلفات در تاسیسات آنها شده است.
در یک حمله باج افزار، هکرها به شبکه های کامپیوتری یک سازمان دسترسی پیدا می کنند، آنها را مسدود می کنند و درخواست پرداخت می کنند. در سال های اخیر، چنین هک هایی به یک فاجعه واقعی برای صنعت مراقبت های بهداشتی تبدیل شده اند. بیمارستان ها همیشه مواردی را که قربانی شده اند گزارش نمی کنند. با این حال، از سال 2018، تعداد حملات مستند از سال 2018 هر سال افزایش یافته است و بر اساس مطالعه Recorded Future، در سال گذشته به 297 حمله رسیده است.
برت کالو، تحلیلگر امسی سافت گفت که در سال جاری حداقل 12 حمله باج افزار به سازمان های مراقبت های بهداشتی در ایالات متحده صورت گرفته است. کالو افزود، اما از آنجایی که برخی از مراکز پزشکی شعبه های متعددی دارند، 56 مرکز مختلف مورد حمله قرار گرفته اند .
طبق یک مطالعه Ponemon، طی سه سال گذشته، بیش از نیمی از سازمانهای مراقبتهای بهداشتی در این نظرسنجی در سه سال گذشته به بدافزار آلوده شدهاند.
امکانات مراقبتهای بهداشتی از زنجیرههای بیمارستانی غولپیکر گرفته تا کلینیکهای خصوصی کوچک با تعداد کمی کارمند و متخصصان فناوری اطلاعات یا امنیت سایبری بسیار کم است. شبکههای بیمارستانی بزرگ ممکن است متخصصان امنیت اطلاعات واجد شرایط بیشتری داشته باشند، اما چنین بیمارستانهایی نیز اهداف بزرگتری هستند. یک حمله می تواند مراقبت از بیمار را در صدها بیمارستان در سراسر کشور کند کند، همانطور که در حمله سال 2020 به خدمات بهداشت جهانی اتفاق افتاد.
جاش کورمان، معاون شرکت امنیت سایبری کلاروتی، گفت: اما مدتهاست که مشخص شده است که حملات سایبری مداوم به بیمارستانها عوارضی را بر بیماران وارد میکند.
کورمان گفت: «ما می دانیم که تأخیر کمک ها بر میزان مرگ و میر تأثیر می گذارد و می دانیم که حملات سایبری باعث تأخیر می شود.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
حملات سایبری به مراکز پزشکی یک اتفاق تقریباً ثابت در ایالات متحده است.
حملات سایبری به مراکز پزشکی، که تقریباً به طور مداوم در ایالات متحده رخ می دهد، اغلب منجر به افزایش نرخ مرگ و میر بیماران می شود.
این مطالعه که توسط مؤسسه پونمون، یک اندیشکده مستقر در واشنگتن دی سی انجام شد، با بیش از 600 متخصص فناوری اطلاعات از بیش از 100 موسسه مراقبت های بهداشتی مصاحبه کرد. نتایج این مطالعه ملموسترین شواهد تا به امروز را ارائه میکند که نشان میدهد هک مداوم مراکز پزشکی ایالات متحده منجر به بدتر شدن کیفیت مراقبت از بیماران و افزایش احتمال مرگ آنها میشود.
دو سوم از پاسخ دهندگانی که حملات باج افزار را تجربه کردند ، گفتند که چنین حملاتی مراقبت از بیمار را مختل می کند. 59 درصد از افراد مورد بررسی افزایش طول مدت اقامت بیماران در بیمارستان را گزارش کردند که منجر به اضافه بار منابع شد. نزدیک به یک چهارم گفتند که این حملات منجر به افزایش تلفات در تاسیسات آنها شده است.
در یک حمله باج افزار، هکرها به شبکه های کامپیوتری یک سازمان دسترسی پیدا می کنند، آنها را مسدود می کنند و درخواست پرداخت می کنند. در سال های اخیر، چنین هک هایی به یک فاجعه واقعی برای صنعت مراقبت های بهداشتی تبدیل شده اند. بیمارستان ها همیشه مواردی را که قربانی شده اند گزارش نمی کنند. با این حال، از سال 2018، تعداد حملات مستند از سال 2018 هر سال افزایش یافته است و بر اساس مطالعه Recorded Future، در سال گذشته به 297 حمله رسیده است.
برت کالو، تحلیلگر امسی سافت گفت که در سال جاری حداقل 12 حمله باج افزار به سازمان های مراقبت های بهداشتی در ایالات متحده صورت گرفته است. کالو افزود، اما از آنجایی که برخی از مراکز پزشکی شعبه های متعددی دارند، 56 مرکز مختلف مورد حمله قرار گرفته اند .
طبق یک مطالعه Ponemon، طی سه سال گذشته، بیش از نیمی از سازمانهای مراقبتهای بهداشتی در این نظرسنجی در سه سال گذشته به بدافزار آلوده شدهاند.
امکانات مراقبتهای بهداشتی از زنجیرههای بیمارستانی غولپیکر گرفته تا کلینیکهای خصوصی کوچک با تعداد کمی کارمند و متخصصان فناوری اطلاعات یا امنیت سایبری بسیار کم است. شبکههای بیمارستانی بزرگ ممکن است متخصصان امنیت اطلاعات واجد شرایط بیشتری داشته باشند، اما چنین بیمارستانهایی نیز اهداف بزرگتری هستند. یک حمله می تواند مراقبت از بیمار را در صدها بیمارستان در سراسر کشور کند کند، همانطور که در حمله سال 2020 به خدمات بهداشت جهانی اتفاق افتاد.
جاش کورمان، معاون شرکت امنیت سایبری کلاروتی، گفت: اما مدتهاست که مشخص شده است که حملات سایبری مداوم به بیمارستانها عوارضی را بر بیماران وارد میکند.
کورمان گفت: «ما می دانیم که تأخیر کمک ها بر میزان مرگ و میر تأثیر می گذارد و می دانیم که حملات سایبری باعث تأخیر می شود.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
محققان تیم 82 Claroty آسیبپذیریهای مهمی را در محصولات اتوماسیون نیروگاه صنعتی MZ Automation کشف کردهاند که برخی از آنها دارای امتیاز CVSS V3 10 از 10 هستند.
این کتابخانه کد منبع libIEC61850 است که به شما امکان می دهد پروتکل های IEC 61850 (MMS، GOOSE، Sampled Values) را در دستگاه ها و برنامه ها پیاده سازی کنید. کتابخانه هسته به زبان C نوشته شده است (سازگار با C99 برای حداکثر قابلیت حمل).
این آسیبپذیری حیاتی که بهعنوان CVE-2022-2970 (CVSS V3:10) ردیابی میشود، مربوط به سرریز بافر مبتنی بر پشته است. محصول قبل از استفاده از memcpy ورودی را پاک نمی کند، که می تواند به مهاجم اجازه دهد یک دستگاه را غیرفعال کند یا کد دلخواه را از راه دور اجرا کند.
یک CVE-2022-2972 دیگر با ارزیابی مشابه و ماهیت مشکل می تواند به مهاجم اجازه دهد یک دستگاه را غیرفعال کند یا کد دلخواه را از راه دور اجرا کند.
دو باگ دیگر دارای امتیاز بالای CVSS V3 8.6 هستند.
در عین حال، یکی از CVE-2022-2971 به دلیل دسترسی به منبع با استفاده از نوع ناسازگار است و دیگری CVE-2022-2973 به دلیل استفاده از یک اشاره گر تهی در شرایط خاص است که در هر دو موقعیت می تواند اجازه دهد. یک مهاجم برای غیرفعال کردن سرور، از جمله با یک بار مخرب.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
این کتابخانه کد منبع libIEC61850 است که به شما امکان می دهد پروتکل های IEC 61850 (MMS، GOOSE، Sampled Values) را در دستگاه ها و برنامه ها پیاده سازی کنید. کتابخانه هسته به زبان C نوشته شده است (سازگار با C99 برای حداکثر قابلیت حمل).
این آسیبپذیری حیاتی که بهعنوان CVE-2022-2970 (CVSS V3:10) ردیابی میشود، مربوط به سرریز بافر مبتنی بر پشته است. محصول قبل از استفاده از memcpy ورودی را پاک نمی کند، که می تواند به مهاجم اجازه دهد یک دستگاه را غیرفعال کند یا کد دلخواه را از راه دور اجرا کند.
یک CVE-2022-2972 دیگر با ارزیابی مشابه و ماهیت مشکل می تواند به مهاجم اجازه دهد یک دستگاه را غیرفعال کند یا کد دلخواه را از راه دور اجرا کند.
دو باگ دیگر دارای امتیاز بالای CVSS V3 8.6 هستند.
در عین حال، یکی از CVE-2022-2971 به دلیل دسترسی به منبع با استفاده از نوع ناسازگار است و دیگری CVE-2022-2973 به دلیل استفاده از یک اشاره گر تهی در شرایط خاص است که در هر دو موقعیت می تواند اجازه دهد. یک مهاجم برای غیرفعال کردن سرور، از جمله با یک بار مخرب.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
متخصصان آزمایشگاه کسپرسکی گزارشی را ارائه کرده اند که منعکس کننده چشم انداز تهدید برای سیستم های اتوماسیون صنعتی برای نیمه اول سال 2022 است.
به گفته محققان، طی شش ماه گذشته، اشیاء مخرب بر روی 31.8 درصد از کامپیوترهای ICS در جهان مسدود شده اند.
بیشتر این اشیاء در آفریقا مسدود شده اند - 41.5٪، روسیه 30.2٪، در حالی که ایالات متحده و کانادا 18.1٪، و حداقل رقم 12.8٪ - در شمال اروپا به اشتراک گذاشته شده است.
اتوماسیون ساختمان در رتبهبندی صنایع منتخب از نظر درصد رایانههای ICS که اشیای مخرب روی آنها مسدود شدهاند (42.2 درصد) رتبه اول را دارد و پس از آن «نفت و گاز» (39.6 درصد) قرار دارد. شاخص های صنایع "مهندسی و یکپارچه سازهای سیستم های کنترل خودکار"، "انرژی" و "تولید" با یک دهم درصد تفاوت دارند.
از جمله منابع اصلی تهدید در زیرساخت های فناوری سازمان ها می توان به اینترنت (16.5%)، رسانه های قابل جابجایی (3.5%) و ایمیل (7.0%) اشاره کرد.
در نیمه اول سال 2022، بیش از 102000 اصلاح بدافزار از 7219 خانواده مختلف توسط راه حل های امنیتی آزمایشگاه در سیستم های اتوماسیون صنعتی مسدود شد.
در همان زمان، درصد رایانههای ICS که در آنها موارد زیر مسدود شدهاند، به میزان قابلتوجهی افزایش یافت: اسکریپتهای مخرب و صفحات فیشینگ (JS و HTML) - به میزان 3.5 p.p. اسناد مخرب - توسط 3.0 p.p. و نرم افزارهای جاسوسی - تروجان ها، درهای پشتی و کی لاگرها - با 0.5 p.p.
درصد رایانههای ICS که نرمافزارهای جاسوسی روی آنها مسدود شدهاند از سال 2020 در حال افزایش است، و درست همانطور که تعداد بدافزارهای استخراج رمزارز پنهان در شش ماه گذشته افزایش یافته است: استخراجکنندههای وب در مرورگرها با 0.4 p.p. و ماینرها - فایل های اجرایی برای OC Windows - توسط 0.2 p.p.
از سوی دیگر، سهم رایانههای ICS که روی آنها ویروسها و کرمها مسدود شدهاند همچنان کاهش مییابد که نشاندهنده کار سیستماتیک برای استقرار راهحلهای امنیتی در OTها است.
دوره مطالعه بالاترین درصد (0.65٪) کامپیوترهای ICS را نشان داد که باج افزار روی آنها مسدود شده بود.
رتبه بندی مناطق توسط باج افزار توسط آسیای شرقی (0.95٪) پیشتاز بود. تعداد کامپیوترهای ICS مورد حمله باج افزار در 9 منطقه جهان، به ویژه در خاورمیانه و آمریکای لاتین (تقریباً 2.5 برابر) افزایش یافته است. در همان زمان، بیشتر حملات متوجه سیستمهای اتوماسیون ساختمان بود.
نتایج تجزیه و تحلیل داده های آماری به لطف شبکه ضد ویروس توزیع شده Kaspersky Security Network (KSN) به دست آمد که نه تنها به ارزیابی تهدیدها کمک می کند، بلکه در شناسایی تهدیدهای جدید از جمله حملات هدفمند و APT ها نیز کمک می کند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
به گفته محققان، طی شش ماه گذشته، اشیاء مخرب بر روی 31.8 درصد از کامپیوترهای ICS در جهان مسدود شده اند.
بیشتر این اشیاء در آفریقا مسدود شده اند - 41.5٪، روسیه 30.2٪، در حالی که ایالات متحده و کانادا 18.1٪، و حداقل رقم 12.8٪ - در شمال اروپا به اشتراک گذاشته شده است.
اتوماسیون ساختمان در رتبهبندی صنایع منتخب از نظر درصد رایانههای ICS که اشیای مخرب روی آنها مسدود شدهاند (42.2 درصد) رتبه اول را دارد و پس از آن «نفت و گاز» (39.6 درصد) قرار دارد. شاخص های صنایع "مهندسی و یکپارچه سازهای سیستم های کنترل خودکار"، "انرژی" و "تولید" با یک دهم درصد تفاوت دارند.
از جمله منابع اصلی تهدید در زیرساخت های فناوری سازمان ها می توان به اینترنت (16.5%)، رسانه های قابل جابجایی (3.5%) و ایمیل (7.0%) اشاره کرد.
در نیمه اول سال 2022، بیش از 102000 اصلاح بدافزار از 7219 خانواده مختلف توسط راه حل های امنیتی آزمایشگاه در سیستم های اتوماسیون صنعتی مسدود شد.
در همان زمان، درصد رایانههای ICS که در آنها موارد زیر مسدود شدهاند، به میزان قابلتوجهی افزایش یافت: اسکریپتهای مخرب و صفحات فیشینگ (JS و HTML) - به میزان 3.5 p.p. اسناد مخرب - توسط 3.0 p.p. و نرم افزارهای جاسوسی - تروجان ها، درهای پشتی و کی لاگرها - با 0.5 p.p.
درصد رایانههای ICS که نرمافزارهای جاسوسی روی آنها مسدود شدهاند از سال 2020 در حال افزایش است، و درست همانطور که تعداد بدافزارهای استخراج رمزارز پنهان در شش ماه گذشته افزایش یافته است: استخراجکنندههای وب در مرورگرها با 0.4 p.p. و ماینرها - فایل های اجرایی برای OC Windows - توسط 0.2 p.p.
از سوی دیگر، سهم رایانههای ICS که روی آنها ویروسها و کرمها مسدود شدهاند همچنان کاهش مییابد که نشاندهنده کار سیستماتیک برای استقرار راهحلهای امنیتی در OTها است.
دوره مطالعه بالاترین درصد (0.65٪) کامپیوترهای ICS را نشان داد که باج افزار روی آنها مسدود شده بود.
رتبه بندی مناطق توسط باج افزار توسط آسیای شرقی (0.95٪) پیشتاز بود. تعداد کامپیوترهای ICS مورد حمله باج افزار در 9 منطقه جهان، به ویژه در خاورمیانه و آمریکای لاتین (تقریباً 2.5 برابر) افزایش یافته است. در همان زمان، بیشتر حملات متوجه سیستمهای اتوماسیون ساختمان بود.
نتایج تجزیه و تحلیل داده های آماری به لطف شبکه ضد ویروس توزیع شده Kaspersky Security Network (KSN) به دست آمد که نه تنها به ارزیابی تهدیدها کمک می کند، بلکه در شناسایی تهدیدهای جدید از جمله حملات هدفمند و APT ها نیز کمک می کند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
بدافزار جدید لینوکس مخفیکاری غیرمعمول را با مجموعه کاملی از قابلیت ها ترکیب می کند که به طور بالقوه سرورها و اینترنت اشیا را هدف قرار می دهد.
محققان AT&T Alien Labs در این هفته از نوع جدیدی از بدافزار لینوکس رونمایی کردند که به دلیل پنهان کاری و پیچیدگی آن در آلوده کردن سرورهای سنتی و دستگاه های کوچکتر اینترنت اشیا قابل توجه است.
ادامه مطلب:
https://t.me/linux_news/678
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
محققان AT&T Alien Labs در این هفته از نوع جدیدی از بدافزار لینوکس رونمایی کردند که به دلیل پنهان کاری و پیچیدگی آن در آلوده کردن سرورهای سنتی و دستگاه های کوچکتر اینترنت اشیا قابل توجه است.
ادامه مطلب:
https://t.me/linux_news/678
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Telegram
Linux news
New Linux malware combines unusual stealth with a full suite of capabilities potentially Targeting servers and IoT
AT&T Alien Labs Researchers this week unveiled a new strain of Linux malware that's notable for its stealth and sophistication in infecting…
AT&T Alien Labs Researchers this week unveiled a new strain of Linux malware that's notable for its stealth and sophistication in infecting…
کارشناسان امنیت سایبری هشدار می دهند که جهان به سمت یک طوفان جنایت سایبری "کامل" پیش می رود
کارشناسان امنیت سایبری میگویند که ترکیبی از تنشهای ژئوپلیتیک فزاینده، رکود اقتصادی در آینده و فشار برای دیجیتالی کردن فرآیندهای تجاری، یک "طوفان عالی" برای هکرها ایجاد کرده است.
مایک مدیسون، مدیر اجرایی NCC گفت: دستور کار دیجیتالی کردن در پشت همهگیری جهانی فرصتهای جدیدی را برای هکرها ایجاد کرده است تا راههای جدیدی برای نفوذ و استفاده از شرکتها باز کنند.
فشار برای دیجیتالی کردن فرآیندهای تجاری در حالی صورت می گیرد که درگیری روسیه و اوکراین و بدتر شدن روابط با چین نیز منجر به افزایش حملات سایبری از سوی گروه های هکری تحت حمایت دولت شده است.
به نوبه خود، رکود جهانی در حال پیشروی نیز تهدیدی برای ایجاد انگیزه های قوی تر برای مجرمان سایبری است، زیرا افراد باهوش رایانه به طور فزاینده ای به سمت جرم روی می آورند.
یک کارشناس امنیت سایبری گفت که از زمان حمله روسیه به اوکراین در فوریه، حملات سایبری افزایش یافته است.
او گفت که افزایش حملات سایبری همچنین نتیجه افزایش تعداد افراد ماهر سایبری است که در میان گسترش گسترده ابزارهای هک بسیار کارآمد وارد تجارت میشوند.
وی گفت هکرهای کره شمالی نقش ویژه ای در راه اندازی حملات سایبری علیه بازیگران اصلی در بخش مالی جهانی ایفا کرده اند.
او گفت هکرهای روسی و چینی تمایل بیشتری به تمرکز بر شرکتها و شرکتهای زیرساختی دارند که داراییهای کلیدی با اهمیت نظامی هستند.
مدیسون خاطرنشان کرد که غالباً بین هکرهای تحت حمایت دولت و مجرمان سایبری مستقلی که یا توسط دولت استخدام میشوند یا صرفاً به میل خود حملاتی را علیه دشمنان ایالتهای خود انجام میدهند، تفاوت قابل توجهی وجود ندارد.
وی خاطرنشان کرد که کشورهای متخاصم مایلند از کسانی که رقبای ژئوپلیتیکی آنها را هک می کنند چشم بپوشند.
رایان کالمبر، معاون اجرایی شرکت امنیت سایبری Proofpoint، گفت که "مجرمان سایبری فرصت طلب" از نوسانات سیاسی و اقتصادی سوء استفاده می کنند، زیرا او اشاره کرد که حملات در پشت جنگ در اوکراین افزایش یافته است.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
کارشناسان امنیت سایبری میگویند که ترکیبی از تنشهای ژئوپلیتیک فزاینده، رکود اقتصادی در آینده و فشار برای دیجیتالی کردن فرآیندهای تجاری، یک "طوفان عالی" برای هکرها ایجاد کرده است.
مایک مدیسون، مدیر اجرایی NCC گفت: دستور کار دیجیتالی کردن در پشت همهگیری جهانی فرصتهای جدیدی را برای هکرها ایجاد کرده است تا راههای جدیدی برای نفوذ و استفاده از شرکتها باز کنند.
فشار برای دیجیتالی کردن فرآیندهای تجاری در حالی صورت می گیرد که درگیری روسیه و اوکراین و بدتر شدن روابط با چین نیز منجر به افزایش حملات سایبری از سوی گروه های هکری تحت حمایت دولت شده است.
به نوبه خود، رکود جهانی در حال پیشروی نیز تهدیدی برای ایجاد انگیزه های قوی تر برای مجرمان سایبری است، زیرا افراد باهوش رایانه به طور فزاینده ای به سمت جرم روی می آورند.
یک کارشناس امنیت سایبری گفت که از زمان حمله روسیه به اوکراین در فوریه، حملات سایبری افزایش یافته است.
او گفت که افزایش حملات سایبری همچنین نتیجه افزایش تعداد افراد ماهر سایبری است که در میان گسترش گسترده ابزارهای هک بسیار کارآمد وارد تجارت میشوند.
وی گفت هکرهای کره شمالی نقش ویژه ای در راه اندازی حملات سایبری علیه بازیگران اصلی در بخش مالی جهانی ایفا کرده اند.
او گفت هکرهای روسی و چینی تمایل بیشتری به تمرکز بر شرکتها و شرکتهای زیرساختی دارند که داراییهای کلیدی با اهمیت نظامی هستند.
مدیسون خاطرنشان کرد که غالباً بین هکرهای تحت حمایت دولت و مجرمان سایبری مستقلی که یا توسط دولت استخدام میشوند یا صرفاً به میل خود حملاتی را علیه دشمنان ایالتهای خود انجام میدهند، تفاوت قابل توجهی وجود ندارد.
وی خاطرنشان کرد که کشورهای متخاصم مایلند از کسانی که رقبای ژئوپلیتیکی آنها را هک می کنند چشم بپوشند.
رایان کالمبر، معاون اجرایی شرکت امنیت سایبری Proofpoint، گفت که "مجرمان سایبری فرصت طلب" از نوسانات سیاسی و اقتصادی سوء استفاده می کنند، زیرا او اشاره کرد که حملات در پشت جنگ در اوکراین افزایش یافته است.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
گروه هک طرفدار فلسطین، PLCهای Berghof در اسرائیل را به خطر انداخت
بررسی اجمالی: PLC های Berghof در معرض خطر هستند
در 4 سپتامبر 2022، یک گروه هکریست "GhostSec" که قبلا مشاهده شده بود سازمان ها و پلتفرم های اسرائیلی را هدف قرار می دهد، در رسانه های اجتماعی و کانال تلگرام خود اعلام کرد که این گروه با موفقیت 55 دستگاه PLC Berghof را در اسرائیل نقض کرده است.
در پیامی که GhostSec منتشر کرد، ویدیویی را ضمیمه کرد که نشان دهنده ورود موفقیت آمیز به پنل مدیریت PLC است، همراه با تصویری از صفحه نمایش HMI که وضعیت فعلی و کنترل فرآیند PLC را نشان می دهد، و تصویر دیگری که نشان می دهد PLC دردسترس است. در پیام درج شده این گروه داده های تخلیه شده از PLC های نقض شده را منتشر کرد.
مشاهده اطلاعات منتشر شده سیستم از آرشیوهای ZIP (part_1.zip و part_2.zip) نشانیهای IP عمومی (زیر) PLCهای آسیبدیده را نشان داد. این نشان میدهد که دستگاهها به صورت عمومی در معرض اینترنت بودند.
هر دو بایگانی حاوی انواع یکسانی از دادهها بودند - سیستم تخلیه و اسکرینشاتهای HMI، که مستقیماً از پنل مدیریت Berghof صادر شدند. این پنل با طراحی دارای این قابلیت است و به کاربرانی که وارد سیستم شده اند اجازه می دهد تا یک نسخه پشتیبان تهیه کنند و وضعیت فعلی HMI را از طریق یک اسکرین شات مشاهده کنند.
چگونه PLC های Berghof نقض شدند؟
در زمان بررسی ما، IP ها هنوز از طریق اینترنت قابل دسترسی بودند. دسترسی به پنل مدیریت با رمز عبور محافظت می شود. با این حال، آزمایش چند اعتبار پیش فرض و رایج منجر به ورود موفقیت آمیز شد.
اسکرین شات های HMI را می توان به سادگی با دسترسی به برگه “Screenshot” گرفته و مشاهده کرد.
تخلیه سیستم به طور مشابه فقط با دسترسی به برگه "System Dump" در پنل مدیریت انجام شد.
اگرچه دسترسی به پنل مدیریت کنترل کامل بر برخی از عملکردهای PLC را فراهم می کند، اما کنترل مستقیم بر فرآیند صنعتی را فراهم نمی کند. ممکن است تا حدی بر روند تأثیر بگذارد، اما پیکربندی فرآیند واقعی خود تنها از طریق پنل مدیریت در دسترس نیست.
تحقیقات ما به این نتیجه رسیدکه Berghof از فناوری CODESYS به عنوان HMI خود استفاده می کند و همچنین از طریق مرورگر در یک آدرس خاص قابل دسترسی است. از مشاهدات ما از اثبات نقض GhostSec، ما نمی دانستیم که آیا GhostSec به HMI دسترسی پیدا کرده است یا خیر. اما ما تایید کرده ایم که صفحه نمایش HMI نیز در دسترس عموم قرار گرفته است.
نتیجه
برخلاف حملات سایبری به زیرساختهای فناوری اطلاعات، نقض امنیت OT میتواند بسیار خطرناک باشد زیرا میتواند بر فرآیندهای فیزیکی تأثیر بگذارد و در برخی موارد حتی منجر به موقعیتهای تهدیدکننده زندگی شود.
در حالی که ادعاهای GhostSec در مورد یک حمله سایبری پیچیده است، حادثه مورد بررسی در اینجا صرفاً یک مورد است که در آن پیکربندیهای اشتباه سیستمهای صنعتی به راحتی نادیده گرفته میشوند که منجر به تلاشی بسیار ساده برای نقض خود سیستمها شده است.
این واقعیت که احتمالاً HMI مورد دسترسی قرار نگرفته و توسط GhostSec دستکاری نشده است و هکرها از رابط Modbus سوء استفاده نمیکنند، ناآشنایی با دامنه OT را نشان میدهد. تا جایی که میدانیم، GhostSec آسیب جدی به سیستمهای آسیبدیده وارد نکرده بود، بلکه فقط به دنبال جلب توجه به گروه هکتیویست و فعالیتهای آن بود.
علیرغم تاثیر کم این حادثه، این یک مثال عالی است که در آن میتوان به راحتی با پیکربندی ساده و مناسب از حمله سایبری جلوگیری کرد. غیرفعال کردن نمایش عمومی دارایی ها در اینترنت، و حفظ یک خط مشی رمز عبور خوب، به ویژه تغییر اعتبار پیش فرض ورود به سیستم، باعث شکست تلاش هکتیویست ها برای نقض می شود.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
بررسی اجمالی: PLC های Berghof در معرض خطر هستند
در 4 سپتامبر 2022، یک گروه هکریست "GhostSec" که قبلا مشاهده شده بود سازمان ها و پلتفرم های اسرائیلی را هدف قرار می دهد، در رسانه های اجتماعی و کانال تلگرام خود اعلام کرد که این گروه با موفقیت 55 دستگاه PLC Berghof را در اسرائیل نقض کرده است.
در پیامی که GhostSec منتشر کرد، ویدیویی را ضمیمه کرد که نشان دهنده ورود موفقیت آمیز به پنل مدیریت PLC است، همراه با تصویری از صفحه نمایش HMI که وضعیت فعلی و کنترل فرآیند PLC را نشان می دهد، و تصویر دیگری که نشان می دهد PLC دردسترس است. در پیام درج شده این گروه داده های تخلیه شده از PLC های نقض شده را منتشر کرد.
مشاهده اطلاعات منتشر شده سیستم از آرشیوهای ZIP (part_1.zip و part_2.zip) نشانیهای IP عمومی (زیر) PLCهای آسیبدیده را نشان داد. این نشان میدهد که دستگاهها به صورت عمومی در معرض اینترنت بودند.
هر دو بایگانی حاوی انواع یکسانی از دادهها بودند - سیستم تخلیه و اسکرینشاتهای HMI، که مستقیماً از پنل مدیریت Berghof صادر شدند. این پنل با طراحی دارای این قابلیت است و به کاربرانی که وارد سیستم شده اند اجازه می دهد تا یک نسخه پشتیبان تهیه کنند و وضعیت فعلی HMI را از طریق یک اسکرین شات مشاهده کنند.
چگونه PLC های Berghof نقض شدند؟
در زمان بررسی ما، IP ها هنوز از طریق اینترنت قابل دسترسی بودند. دسترسی به پنل مدیریت با رمز عبور محافظت می شود. با این حال، آزمایش چند اعتبار پیش فرض و رایج منجر به ورود موفقیت آمیز شد.
اسکرین شات های HMI را می توان به سادگی با دسترسی به برگه “Screenshot” گرفته و مشاهده کرد.
تخلیه سیستم به طور مشابه فقط با دسترسی به برگه "System Dump" در پنل مدیریت انجام شد.
اگرچه دسترسی به پنل مدیریت کنترل کامل بر برخی از عملکردهای PLC را فراهم می کند، اما کنترل مستقیم بر فرآیند صنعتی را فراهم نمی کند. ممکن است تا حدی بر روند تأثیر بگذارد، اما پیکربندی فرآیند واقعی خود تنها از طریق پنل مدیریت در دسترس نیست.
تحقیقات ما به این نتیجه رسیدکه Berghof از فناوری CODESYS به عنوان HMI خود استفاده می کند و همچنین از طریق مرورگر در یک آدرس خاص قابل دسترسی است. از مشاهدات ما از اثبات نقض GhostSec، ما نمی دانستیم که آیا GhostSec به HMI دسترسی پیدا کرده است یا خیر. اما ما تایید کرده ایم که صفحه نمایش HMI نیز در دسترس عموم قرار گرفته است.
نتیجه
برخلاف حملات سایبری به زیرساختهای فناوری اطلاعات، نقض امنیت OT میتواند بسیار خطرناک باشد زیرا میتواند بر فرآیندهای فیزیکی تأثیر بگذارد و در برخی موارد حتی منجر به موقعیتهای تهدیدکننده زندگی شود.
در حالی که ادعاهای GhostSec در مورد یک حمله سایبری پیچیده است، حادثه مورد بررسی در اینجا صرفاً یک مورد است که در آن پیکربندیهای اشتباه سیستمهای صنعتی به راحتی نادیده گرفته میشوند که منجر به تلاشی بسیار ساده برای نقض خود سیستمها شده است.
این واقعیت که احتمالاً HMI مورد دسترسی قرار نگرفته و توسط GhostSec دستکاری نشده است و هکرها از رابط Modbus سوء استفاده نمیکنند، ناآشنایی با دامنه OT را نشان میدهد. تا جایی که میدانیم، GhostSec آسیب جدی به سیستمهای آسیبدیده وارد نکرده بود، بلکه فقط به دنبال جلب توجه به گروه هکتیویست و فعالیتهای آن بود.
علیرغم تاثیر کم این حادثه، این یک مثال عالی است که در آن میتوان به راحتی با پیکربندی ساده و مناسب از حمله سایبری جلوگیری کرد. غیرفعال کردن نمایش عمومی دارایی ها در اینترنت، و حفظ یک خط مشی رمز عبور خوب، به ویژه تغییر اعتبار پیش فرض ورود به سیستم، باعث شکست تلاش هکتیویست ها برای نقض می شود.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
Forwarded from کانال تخصصی امنیت سایبری «کتاس»
تحت تعقیب FBI ده میلیون دلار جایزه!
▫️وزارت دادگستری آمریکا با صدور کیفرخواستی علیه سه شهروند ایرانی در آمریکا، آنان را متهم به انجام حملات سایبری و سوءاستفاده از آسیبپذیریهای شناختهشده یا افشاشده در شبکههای مورد استفاده عمومی و برنامههای نرمافزاری کرده است. بر اساس ادعای وزارت دادگستری، مظنونان پرونده با هدف قرار دادن صدها قربانی در آمریکا و سایر کشورها و پس از دسترسی و سرقت داده های آنان، قربانیان را تهدید به انتشار داده ها در صورت عدم پرداخت باج کردند.
▫️به گفته این نهاد آمریکایی در برخی از موارد قربانیان اقدام به پرداخت باج کردند تا داده های آنان منتشر نشود. از سوی دیگر یک مقام ارشد وزارت دادگستری در گفتگو با خبرنگاران اعلام کرد که گمان نمی رود هکرها با ایران همکاری کرده باشند. وزارت خزانهداری آمریکا ۱۰ فرد و دو نهاد ایرانی را به اتهام انجام حملات سایبری به فهرست تحریمهای خود افزود.
https://lnkd.in/d2g2-4zT
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
▫️وزارت دادگستری آمریکا با صدور کیفرخواستی علیه سه شهروند ایرانی در آمریکا، آنان را متهم به انجام حملات سایبری و سوءاستفاده از آسیبپذیریهای شناختهشده یا افشاشده در شبکههای مورد استفاده عمومی و برنامههای نرمافزاری کرده است. بر اساس ادعای وزارت دادگستری، مظنونان پرونده با هدف قرار دادن صدها قربانی در آمریکا و سایر کشورها و پس از دسترسی و سرقت داده های آنان، قربانیان را تهدید به انتشار داده ها در صورت عدم پرداخت باج کردند.
▫️به گفته این نهاد آمریکایی در برخی از موارد قربانیان اقدام به پرداخت باج کردند تا داده های آنان منتشر نشود. از سوی دیگر یک مقام ارشد وزارت دادگستری در گفتگو با خبرنگاران اعلام کرد که گمان نمی رود هکرها با ایران همکاری کرده باشند. وزارت خزانهداری آمریکا ۱۰ فرد و دو نهاد ایرانی را به اتهام انجام حملات سایبری به فهرست تحریمهای خود افزود.
https://lnkd.in/d2g2-4zT
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
گروه هک طرفدار فلسطین، PLCهای Berghof در اسرائیل را به خطر انداخت
بررسی اجمالی: PLC های Berghof در معرض خطر هستند
در 4 سپتامبر 2022، یک گروه هکریست "GhostSec" که قبلا مشاهده شده بود سازمان ها و پلتفرم های اسرائیلی را هدف قرار می دهد، در رسانه های اجتماعی و کانال تلگرام خود اعلام کرد که این گروه با موفقیت 55 دستگاه PLC Berghof را در اسرائیل نقض کرده است.
در پیامی که GhostSec منتشر کرد، ویدیویی را ضمیمه کرد که نشان دهنده ورود موفقیت آمیز به پنل مدیریت PLC است، همراه با تصویری از صفحه نمایش HMI که وضعیت فعلی و کنترل فرآیند PLC را نشان می دهد، و تصویر دیگری که نشان می دهد PLC دردسترس است. در پیام درج شده این گروه داده های تخلیه شده از PLC های نقض شده را منتشر کرد.
مشاهده اطلاعات منتشر شده سیستم از آرشیوهای ZIP (part_1.zip و part_2.zip) نشانیهای IP عمومی (زیر) PLCهای آسیبدیده را نشان داد. این نشان میدهد که دستگاهها به صورت عمومی در معرض اینترنت بودند.
هر دو بایگانی حاوی انواع یکسانی از دادهها بودند - سیستم تخلیه و اسکرینشاتهای HMI، که مستقیماً از پنل مدیریت Berghof صادر شدند. این پنل با طراحی دارای این قابلیت است و به کاربرانی که وارد سیستم شده اند اجازه می دهد تا یک نسخه پشتیبان تهیه کنند و وضعیت فعلی HMI را از طریق یک اسکرین شات مشاهده کنند.
چگونه PLC های Berghof نقض شدند؟
در زمان بررسی ما، IP ها هنوز از طریق اینترنت قابل دسترسی بودند. دسترسی به پنل مدیریت با رمز عبور محافظت می شود. با این حال، آزمایش چند اعتبار پیش فرض و رایج منجر به ورود موفقیت آمیز شد.
اسکرین شات های HMI را می توان به سادگی با دسترسی به برگه “Screenshot” گرفته و مشاهده کرد.
تخلیه سیستم به طور مشابه فقط با دسترسی به برگه "System Dump" در پنل مدیریت انجام شد.
اگرچه دسترسی به پنل مدیریت کنترل کامل بر برخی از عملکردهای PLC را فراهم می کند، اما کنترل مستقیم بر فرآیند صنعتی را فراهم نمی کند. ممکن است تا حدی بر روند تأثیر بگذارد، اما پیکربندی فرآیند واقعی خود تنها از طریق پنل مدیریت در دسترس نیست.
تحقیقات ما به این نتیجه رسیدکه Berghof از فناوری CODESYS به عنوان HMI خود استفاده می کند و همچنین از طریق مرورگر در یک آدرس خاص قابل دسترسی است. از مشاهدات ما از اثبات نقض GhostSec، ما نمی دانستیم که آیا GhostSec به HMI دسترسی پیدا کرده است یا خیر. اما ما تایید کرده ایم که صفحه نمایش HMI نیز در دسترس عموم قرار گرفته است.
نتیجه
برخلاف حملات سایبری به زیرساختهای فناوری اطلاعات، نقض امنیت OT میتواند بسیار خطرناک باشد زیرا میتواند بر فرآیندهای فیزیکی تأثیر بگذارد و در برخی موارد حتی منجر به موقعیتهای تهدیدکننده زندگی شود.
در حالی که ادعاهای GhostSec در مورد یک حمله سایبری پیچیده است، حادثه مورد بررسی در اینجا صرفاً یک مورد است که در آن پیکربندیهای اشتباه سیستمهای صنعتی به راحتی نادیده گرفته میشوند که منجر به تلاشی بسیار ساده برای نقض خود سیستمها شده است.
این واقعیت که احتمالاً HMI مورد دسترسی قرار نگرفته و توسط GhostSec دستکاری نشده است و هکرها از رابط Modbus سوء استفاده نمیکنند، ناآشنایی با دامنه OT را نشان میدهد. تا جایی که میدانیم، GhostSec آسیب جدی به سیستمهای آسیبدیده وارد نکرده بود، بلکه فقط به دنبال جلب توجه به گروه هکتیویست و فعالیتهای آن بود.
علیرغم تاثیر کم این حادثه، این یک مثال عالی است که در آن میتوان به راحتی با پیکربندی ساده و مناسب از حمله سایبری جلوگیری کرد. غیرفعال کردن نمایش عمومی دارایی ها در اینترنت، و حفظ یک خط مشی رمز عبور خوب، به ویژه تغییر اعتبار پیش فرض ورود به سیستم، باعث شکست تلاش هکتیویست ها برای نقض می شود.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
بررسی اجمالی: PLC های Berghof در معرض خطر هستند
در 4 سپتامبر 2022، یک گروه هکریست "GhostSec" که قبلا مشاهده شده بود سازمان ها و پلتفرم های اسرائیلی را هدف قرار می دهد، در رسانه های اجتماعی و کانال تلگرام خود اعلام کرد که این گروه با موفقیت 55 دستگاه PLC Berghof را در اسرائیل نقض کرده است.
در پیامی که GhostSec منتشر کرد، ویدیویی را ضمیمه کرد که نشان دهنده ورود موفقیت آمیز به پنل مدیریت PLC است، همراه با تصویری از صفحه نمایش HMI که وضعیت فعلی و کنترل فرآیند PLC را نشان می دهد، و تصویر دیگری که نشان می دهد PLC دردسترس است. در پیام درج شده این گروه داده های تخلیه شده از PLC های نقض شده را منتشر کرد.
مشاهده اطلاعات منتشر شده سیستم از آرشیوهای ZIP (part_1.zip و part_2.zip) نشانیهای IP عمومی (زیر) PLCهای آسیبدیده را نشان داد. این نشان میدهد که دستگاهها به صورت عمومی در معرض اینترنت بودند.
هر دو بایگانی حاوی انواع یکسانی از دادهها بودند - سیستم تخلیه و اسکرینشاتهای HMI، که مستقیماً از پنل مدیریت Berghof صادر شدند. این پنل با طراحی دارای این قابلیت است و به کاربرانی که وارد سیستم شده اند اجازه می دهد تا یک نسخه پشتیبان تهیه کنند و وضعیت فعلی HMI را از طریق یک اسکرین شات مشاهده کنند.
چگونه PLC های Berghof نقض شدند؟
در زمان بررسی ما، IP ها هنوز از طریق اینترنت قابل دسترسی بودند. دسترسی به پنل مدیریت با رمز عبور محافظت می شود. با این حال، آزمایش چند اعتبار پیش فرض و رایج منجر به ورود موفقیت آمیز شد.
اسکرین شات های HMI را می توان به سادگی با دسترسی به برگه “Screenshot” گرفته و مشاهده کرد.
تخلیه سیستم به طور مشابه فقط با دسترسی به برگه "System Dump" در پنل مدیریت انجام شد.
اگرچه دسترسی به پنل مدیریت کنترل کامل بر برخی از عملکردهای PLC را فراهم می کند، اما کنترل مستقیم بر فرآیند صنعتی را فراهم نمی کند. ممکن است تا حدی بر روند تأثیر بگذارد، اما پیکربندی فرآیند واقعی خود تنها از طریق پنل مدیریت در دسترس نیست.
تحقیقات ما به این نتیجه رسیدکه Berghof از فناوری CODESYS به عنوان HMI خود استفاده می کند و همچنین از طریق مرورگر در یک آدرس خاص قابل دسترسی است. از مشاهدات ما از اثبات نقض GhostSec، ما نمی دانستیم که آیا GhostSec به HMI دسترسی پیدا کرده است یا خیر. اما ما تایید کرده ایم که صفحه نمایش HMI نیز در دسترس عموم قرار گرفته است.
نتیجه
برخلاف حملات سایبری به زیرساختهای فناوری اطلاعات، نقض امنیت OT میتواند بسیار خطرناک باشد زیرا میتواند بر فرآیندهای فیزیکی تأثیر بگذارد و در برخی موارد حتی منجر به موقعیتهای تهدیدکننده زندگی شود.
در حالی که ادعاهای GhostSec در مورد یک حمله سایبری پیچیده است، حادثه مورد بررسی در اینجا صرفاً یک مورد است که در آن پیکربندیهای اشتباه سیستمهای صنعتی به راحتی نادیده گرفته میشوند که منجر به تلاشی بسیار ساده برای نقض خود سیستمها شده است.
این واقعیت که احتمالاً HMI مورد دسترسی قرار نگرفته و توسط GhostSec دستکاری نشده است و هکرها از رابط Modbus سوء استفاده نمیکنند، ناآشنایی با دامنه OT را نشان میدهد. تا جایی که میدانیم، GhostSec آسیب جدی به سیستمهای آسیبدیده وارد نکرده بود، بلکه فقط به دنبال جلب توجه به گروه هکتیویست و فعالیتهای آن بود.
علیرغم تاثیر کم این حادثه، این یک مثال عالی است که در آن میتوان به راحتی با پیکربندی ساده و مناسب از حمله سایبری جلوگیری کرد. غیرفعال کردن نمایش عمومی دارایی ها در اینترنت، و حفظ یک خط مشی رمز عبور خوب، به ویژه تغییر اعتبار پیش فرض ورود به سیستم، باعث شکست تلاش هکتیویست ها برای نقض می شود.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.