تعرف على حكاية ترايتون أول فيروس حاسوب قاتل للبشر على الإطلاق، استهدف منشأة سعودية … كاد يتسبب في كارثة و منعته الصدفة !
عندما تم استدعاء جوليان غوتمانس المستشار الأمني الإسترالي في صيف عام 2017 لمساعدة إحدى شركات البتروكيماويات السعودية لمواجهة تداعيات الهجمات الإلكترونية ، عثر جوليان على ما جمد الدم في عروقه .
اكتشف جوليان أن المتطفلين قد نشروا برمجيات خبيثة ، أو برامج ضارة ، تمكنهم من الاستيلاء على أنظمة معدات السلامة في المصنع. التي تعد خط الدفاع الأخير ضد الكوارث التي تهدد الحياة. من المفترض لهذه الأنظمة أن تكشف عن الظروف الخطرة فور حدوثها، أو تقوم بإعادة العمليات إلى مستويات آمنة أو إغلاقها تمامًا عن طريق إطلاق أشياء مثل صمامات الإغلاق وآليات إطلاق الضغط.
جعلت البرمجيات الخبيثة من الممكن السيطرة على هذه الأنظمة عن بعد. لو قام المتطفلين بتعطيل هذه الأنظمة أو العبث بها ، ثم استخدموا برمجيات أخر للتلاعب بمعدات المصنع لكانت العواقب كارثية.
المحتويات
خطأ غير مقصود أوقف فيروس ترايتون
لحسن الحظ ، تسبب خطأ في الكود في إيقاف العملية قبل أن يتمكن المتسللين من إحداث أي ضرر. وقد تسبب في استجابة من نظام السلامة في يونيو 2017 أدت إلى توقف المحطة. وفي أغسطس ، تعثرت العديد من الأنظمة ، مما تسبب في إيقاف آخر.
كان الانقطاع الأول يعزى الخطأ إلى خلل ميكانيكي ؛ بعد المرة الثانية ، دعا أصحاب المصنع الخبراء و الذين عثروا على البرمجيات الخبيثة ، التي أطلق عليها اسم فيروس ترايتون ‘Triton’ (أو ترايسس ‘Trisis’ في بعض الأحيان) لنموذج تحكم ترايكونكس Triconex للسلامة الذي استهدفته ، والذي تصنعه شركة شنايدر Schneider Electric ، وهي شركة فرنسية.
نتائج كارثية محتملة للفيروس
في أسوأ الحالات ، كان من الممكن أن يؤدي هذا الإختراق إلى إطلاق غاز كبريتيد الهيدروجين السام أو التسبب في حدوث انفجارات ، مما يعرض الأرواح للخطر سواء في المنشأة أو في المنطقة المحيطة بها.
ويتذكر غوتمانز أن التعامل مع البرمجيات الخبيثة في مصنع البتروكيماويات ، الذي أعيد تشغيله بعد الحادث الثاني ، كان تجربة مرهقة للأعصاب. ‘كنا نعلم أننا لا نستطيع الاعتماد على سلامة أنظمة السلامة’ ، كما يقول. ‘كان الأمر سيئًا لأقصى الحدود’
في الهجوم على المصنع ، مرر المتسللون فيروساً مرعباً. كانت هذه هي المرة الأولى التي يرى فيها عالم الأمن السيبراني كوداً متعمدًا يهدف إلى تعريض الأرواح للخطر. لا يتم العثور على الأنظمة المجهزة بالأمان في مصانع البتروكيماويات فقط ؛ هي أيضا خط الدفاع الأخير في كل شيء من أنظمة النقل إلى مرافق معالجة المياه إلى محطات الطاقة النووية.
يثير اكتشاف فيروس ترايتون Triton أسئلة حول كيفية تمكن المتسللين من الوصول إلى هذه الأنظمة المهمة. كما يأتي في وقت تقوم فيه المنشآت الصناعية بدمج التوصيلية في جميع أنواع المعدات – وهي ظاهرة تعرف باسم الإنترنت الصناعي للأشياء. يتيح هذا الاتصال للعمال مراقبة المعدات عن بعد وجمع البيانات بسرعة حتى يتمكنوا من جعل العمليات أكثر كفاءة ، ولكنه يمنح المتسللين أيضًا المزيد من الأهداف المحتملة.
أولئك الذين يقفون وراء تريتون يقومون الآن بمطاردة ضحايا جدد. دراجوس ، وهي شركة متخصصة في مجال الأمن السيبراني الصناعي ، وحيث يعمل غوتمان الآن ، تقول إنه شوهدت أدلة خلال العام الماضي أو نحو ذلك أن مجموعة القرصنة التي بنت البرمجيات الخبيثة وأدخلتها في المصنع السعودي تستخدم بعضًا من الأساليب الحرفية الرقمية نفسها أهداف في أماكن خارج الشرق الأوسط ، بما في ذلك أمريكا الشمالية. وهي تعمل على إنشاء سلالات جديدة من الشفرة من أجل التأثير على نطاق أوسع من أنظمة أجهزة السلامة.
فيروس ترايتون في الولايات المتحدة
تم الكشف عن وجود آخر لفيروس ترايتون في ديسمبر 2017 ، على الرغم من أن هوية مالك المصنع ظلت سرية. (رفض غوتمان وغيرهم من الخبراء المشاركين في التحقيق الأولي تسمية الشركة لأنهم يخشون من أن يؤدي ذلك إلى ثني المستهدفين المستقبليين عن مشاركة المعلومات حول الهجمات السيبرانية على انفراد مع الباحثين الأمنيين).
على مدار العامين الماضيين ، كانت شركات الأمن السيبراني تتسابق لتفكيك البرمجيات الخبيثة – ولتحديد من يقف وراءها. يرسم بحثهم صورة مثيرة للقلق لسلاح إلكتروني متطور تم بناؤه ونشره من قبل مجموعة القراصنة السيكوباتيين الذين لم يتم تحديد هويتهم بعد على وجه اليقين.
يبدو أن المتسللين كانوا داخل شبكة تكنولوجيا المعلومات للشركات التابعة لشركة البتروكيماويات منذ عام 2014. ومن هناك ، وجدوا في النهاية طريقة في شبكة المصنع نفسها ، على الأرجح من خلال ثغرة في جدار ناري رقمي تم إعداده بشكل سيئ وكان من المفترض أن يمنع الوصول غير المصرح به. ثم وصلوا إلى محطة عمل هندسية ، إما عن طريق استغلال خطأ غير مرتبط في كود ويندوز الخاص به أو من خلال اختراق تسجيل دخول الموظفين.
منذ أن تم توصيل محطة العمل بأنظمة أجهزة السلامة الخاصة بالمصنع ، تمكّن المتسللون من التعرف على تصميم ونماذج وحدات التحكم في الأجهزة الخاصة بالنظام ، بالإضافة إلى إصدارات برامجهم الثابتة – المضمنة في ذاكرة الجهاز والتحكم في كيفية اتصالها بأشياء أخرى.
أو من المحتمل أن يكون قد حصلوا على جهاز شنايدر مماثل واستخدموه لاختبار البرامج الضارة التي طوروها. هذا جعل من الممكن تقليد البروتوكول ، أو مجموعة القواعد الرقمية ، التي تستخدمها محطة العمل الهندسية للتواصل مع أنظمة السلامة. كما وجد المخترقون أيضًا ‘ثغرة أمنية أو خلل لم يكن معروفًا من قبل ، في البرنامج الثابت لنموذج ترايكونيكس Triconex. مما سمح لهم بحقن الكود في ذاكرة أنظمة الأمان التي تضمن تمكنهم من الوصول إلى وحدات التحكم متى أرادوا ذلك.
وبالتالي ، كان من الممكن أن يأمر المتسللون أنظمة الأجهزة الآمنة بتعطيل نفسها ثم يستخدموا برمجيات خبيثة أخرى لإطلاق حالة غير آمنة في المصنع.
كان يمكن أن تكون النتائج مروعة. كما حدث في أسوأ كارثة صناعية شهدها العالم حتى الآن حينما تسربت غازات سامة كتلك التي حدثت في كانون الأول / ديسمبر 1984 ، حين أطلق مصنع المبيدات التابع لشركة يونيون كاربايد في بوبال بالهند سحابة كبيرة من الأبخرة السامة ، أسفر هذا عن مقتل الآلاف وتسبب في إصابات خطيرة لعدد أكبر بكثير. السبب في ذلك الوقت كان سوء الصيانة والخطأ البشري. لكن أنظمة السلامة المعطلة وغير الفعالة في المصنع تعني أن خط دفاعها الأخير فشل.
حالات سابقة من التخريب
هناك عدد قليل من الأمثلة السابقة للمتسللين الذين يستخدمون الفضاء الإلكتروني لمحاولة عرقلة العالم المادي. وهي تشمل برمجية ستوكس نت الخبيثة Stuxnet ، التي تسببت في خروج المئات من أجهزة الطرد المركزي في محطة نووية إيرانية عن السيطرة وتدمير نفسها في عام 2010 ، و كراش أوفر رايد CrashOverride ، الذي استخدمه قراصنة الكمبيوتر الروس في عام 2016 لضرب شبكة الكهرباء الأوكرانية.
ومع ذلك ، لم يتوقع حتى أكثر المتشائمين برمجيات خبيثة مثل فيروس ترايتون . ويوضح جو سلويك ، وهو ضابط سابق في حرب المعلومات في البحرية الأمريكية ، يعمل أيضًا في دراغوس: ‘يبدو أن استهداف أنظمة الأمان فكرة سيئة أخلاقياً وصعبة فعلًا من الناحية الفنية’.
كما صُدم خبراء آخرون عندما رأوا أخبارًا عن هذا الكود القاتل. يقول برادفورد هجرات ، وهو استشاري في شركة Accenture متخصص في مجال الأمن السيبراني الصناعي: ‘حتى مع ستوكس نت Stuxnet والبرامج الضارة الأخرى ، لم يكن هناك أبدًا هدف واضح وصريح لإيذاء الناس’.
يقول اريل دافيس من شبه المؤكد أنه ليس من قبيل المصادفة أن البرمجيات الخبيثة ظهرت فقط مثلما قام المخترقون من دول مثل روسيا وإيران وكوريا الشمالية بتصعيد بحثهم عن قطاعات ‘البنية التحتية الحيوية’ الحيوية للتسيير السلس للاقتصادات الحديثة ، مثل شركات النفط والغاز ، المرافق الكهربائية وشبكات النقل.
بصمات روسية
في البداية ، كان يعتقد على نطاق واسع أن فيروس ترايتون Triton هو من صنع إيران ، بالنظر إلى أنها والمملكة العربية السعودية في حالة عداء. لكن الأخطاء الحاسوبية نادرا ما تكون بسيطة. في تقرير نشر في تشرين الأول (أكتوبر) الماضي ، أطلقت فاير إيي ، وهي شركة للأمن السيبراني ، تم استدعاؤها في بداية التحقيق في تريتون ، اتجاهاً مختلفاً: روسيا.
كان المخترقون خلف تريتون قد اختبروا عناصر من الشفرة المستخدمة أثناء عملية التطفل لجعل من الصعب على برامج مكافحة الفيروسات اكتشافها. وجد باحثو FireEye ملفًا رقميًا تركوه وراءهم على شبكة شركة البتروكيماويات ، وتمكنوا بعد ذلك من تعقب الملفات الأخرى . يحتوي هذا الملف على عدة أسماء بالأحرف السيريلية ، بالإضافة إلى عنوان IP الذي تم استخدامه لتشغيل العمليات المرتبطة بالبرامج الضارة.
تم تسجيل هذا العنوان في معهد البحوث العلمية المركزي للكيمياء والميكانيكا في موسكو ، وهي منظمة مملوكة للحكومة ذات أقسام تركز على البنية التحتية الحيوية والسلامة الصناعية. كما قالت FireEye أنها عثرت على أدلة تشير إلى تورط أستاذ في المعهد ، على الرغم من أنه لم يذكر اسم الشخص. ومع ذلك ، أشار التقرير إلى أن FireEye لم يعثر على أدلة محددة تثبت بشكل قاطع أن المعهد قد طور ترايتون
دروس مستفادة
لا يزال الباحثون يبحثون مصدر البرمجيات الخبيثة ، لذا قد تظهر المزيد من النظريات حول من يقف وراءها. وفي الوقت نفسه ، يحرص غوتمانز على مساعدة الشركات على تعلم دروس مهمة من تجربته في المصنع السعودي. في عرض تقديمي في مؤتمر الأمن الصناعي S4X19 في يناير ، أوجز عددا من هذه. وتضمنت حقيقة أن:
- ضحية هجوم تريتون قد تجاهلوا العديد من الإنذارات ضد الفيروسات التي تسببها البرامج الضارة
- ، فشل العاملون في رصد بعض حركة المرور غير العادية عبر شبكاتهم.
- كما ترك العاملون في المصنع أيضًا مفاتيحًا فعلية تتحكم في إعدادات أنظمة ترايكونيكس Triconex في موضع يسمح باستخدام برمجيات الماكينة عن بُعد.
إذا كان هذا يجعل الأعمال التجارية السعودية تبدو وكأنها حالة شاذة من ضعف التأمين ، فإن غوتمان يقول إنها ليست كذلك. ‘لقد كنت في الكثير من المصانع في الولايات المتحدة التي لم تكن قريبة من النضج [في مقاربتها للأمن السيبراني] كما كانت هذه الشركة’ .
ويشير خبراء آخرون إلى أن فيروس ترايتون أوضح أن المتسللين الحكوميين مستعدون الآن لملاحقة أهداف غامضة نسبياً يصعب اختراقها في المنشآت الصناعية. تم تصميم الأنظمة المجهزة بالأمان بشكل كبير لحماية أنواع مختلفة من العمليات ، لذا فإن صياغة برامج ضارة للتحكم فيها يتطلب الكثير من الوقت والجهد المضني. على سبيل المثال ، تأتي وحدة التحكم ترايكونيكس من شركة شنايدر بعشرات الموديلات المختلفة ، ويمكن تحميل كل منها بإصدارات مختلفة من البرامج الثابتة.
جرس إنذار للشركات
لقد ذهب هؤلاء المخترقون إلى هذا الحد الكبير لتطوير فيروس تريتون وقد كان بمثابة دعوة للاستيقاظ لشنايدر وغيرهم من صناع أنظمة أجهزة السلامة – شركات مثل إيميرسون في الولايات المتحدة و يوكوجاوا في اليابان. وقد أشاد شنايدر بمشاركته العلنية في مشاركة تفاصيل حول كيفية استهداف المتسللين لنموذج ترايكونيكس الخاص بهم في المصنع السعودي ، بما في ذلك تسليط الضوء على الثغرات الجديدة التي تم تصحيحها منذ ذلك الحين. لكن خلال عرضه في يناير / كانون الثاني ، انتقد غوتمانيس الشركة لفشلها في التواصل بما فيه الكفاية مع المحققين في أعقاب الهجوم مباشرة.
وردت شنايدر قائلة إنها تعاونت بشكل كامل مع الشركة التي استُهدف مصنعها ، وكذلك مع وزارة الأمن الداخلي الأمريكية والوكالات الأخرى المشاركة في التحقيق حول تريتون. لقد وظفت المزيد من الأشخاص منذ الحدث لمساعدتها على الاستجابة للحوادث المستقبلية ، كما عززت أمن البرامج الثابتة والبروتوكولات المستخدمة في أجهزتها.
يقول أندرو كلينغ ، وهو مسؤول تنفيذي من شنايدر ، أحد الدروس المهمة من اكتشاف تريتون هو أن الشركات الصناعية ومصنعي المعدات بحاجة إلى التركيز بشكل أكبر على مجالات قد تبدو أهدافًا غير محتملة للقراصنة ولكنها قد تسبب كارثة إذا تعرضت للاختراق. كتطبيقات البرامج التي نادرا ما تستخدم والبروتوكولات القديمة التي تحكم الاتصالات بين المعدات . يقول كلينج: ‘قد تعتقد أن لا أحد سيضطر إلى كسر بروتوكول غامض لم يتم توثيقه حتى الآن ، لكنك تحتاج إلى أن تسأل ، ما هي العواقب إذا حدث ذلك؟’
مصدر
On Google News