• قام باحثو CloudSek بتحليل البيانات التي جمعتها xviGil لاكتشاف حجم ونطاق التهديدات السيبرانية التي تستهدف شركات النفط والطاقة في جميع أنحاء العالم.
• ال أصدر مكتب التحقيقات الفدرالي مؤخرًا نصيحة رسمية، محذرًا من النشاط المستمر للجهات الفاعلة المهددة التي ترعاها الدولة الروسية ضد قطاع الطاقة العالمي.

<

النتائج الرئيسية

• تتمركز غالبية شركات الطاقة المستهدفة بالهجمات الإلكترونية في أوروبا وأمريكا الجنوبية/اللاتينية وآسيا والمحيط الهادئ والشرق الأوسط.
• كانت الولايات المتحدة هي الدولة الأكثر استهدافًا، تليها البرازيل وفرنسا.
• كان هناك منشور واحد فقط على الويب المظلم بخصوص شركة طاقة في روسيا، على الرغم من حقيقة أن روسيا لاعب رئيسي في قطاع الطاقة العالمي. ويمثل النفط والغاز 45٪ من إيرادات الميزانية الفيدرالية.
• هناك احتمال أن تكون الهجمات الإلكترونية على شركات الطاقة قد ارتكبت من قبل الجهات الفاعلة الروسية، بالنظر إلى أن المناطق المتأثرة هي أكبر منافسي روسيا في صناعة الطاقة.

التحليل والإسناد

• سجلت xviGil أكثر من 120 منشورًا في 2021 و 2022 (حتى مارس)، في منتديات الجرائم الإلكترونية المتعلقة بقطاع الطاقة العالمي.
• تعلن هذه المنشورات بشكل أساسي عن عمليات الوصول وقواعد البيانات التابعة للشركات العاملة في قطاعات الطاقة والنفط والغاز والطاقة والمرافق.

نوع البيانات المنشورة على المنتديات السرية في المشاركات المتعلقة بقطاع النفط والطاقة

• تجدر الإشارة إلى أن غالبية الشركات المستهدفة تتمركز في أوروبا وأمريكا الجنوبية/اللاتينية وآسيا والمحيط الهادئ والشرق الأوسط، مع وجود منشور واحد فقط يتعلق بشركة طاقة في روسيا، على الرغم من حقيقة أن النفط والغاز يمثلان 45٪ من إيرادات الميزانية الفيدرالية الروسية.

[معرف التسمية التوضيحية = «المرفق _19276" align= «alignnone» width="2048"] رسم بياني للخريطة يوضح عدد الهجمات الإلكترونية المسجلة على مستوى المنطقة التي تستهدف قطاع النفط والطاقة [/caption]

• تلعب روسيا دورًا بارزًا في سوق الطاقة العالمي. وهي واحدة من أكبر ثلاثة منتجين للخام في العالم، وتتنافس مع المملكة العربية السعودية والولايات المتحدة على المركز الأول.
• يظهر تحليلنا أن الولايات المتحدة كانت الدولة الأكثر استهدافًا، تليها البرازيل وفرنسا.

تحذير مكتب التحقيقات الفيدرالي ضد الجهات الفاعلة السيبرانية الروسية التي تستهدف قطاع الطاقة العالمي

• أصدر مكتب التحقيقات الفيدرالي الأمريكي (FBI) مؤخرًا تحذيرًا رسميًا ضد الجهات الفاعلة الإلكترونية الروسية التي ترعاها الدولة والتي تستهدف قطاع الطاقة العالمي.
• وسلّط التقرير الاستشاري الضوء على نشر برنامج TRITON الضار، الذي شوهد وهو يستهدف نظام أدوات السلامة في مصنع البتروكيماويات في الشرق الأوسط في عام 2017.
• تم تطوير TRITON من قبل المعهد الروسي المركزي للبحوث العلمية للكيمياء والميكانيكا (TsNIikHM) الذي تواصل القيام بأنشطة تستهدف قطاع الطاقة العالمي.
• تم إصدار هذا التحذير في ضوء لائحة الاتهام الأمريكية لمواطن روسي وموظف في TsNIIKHM متورطين في الهجوم على شنايدر إلكتريك.

الهجوم الإلكتروني ضد شنايدر إلكتريك

• في 24 مارس 2022، شنت البرامج الضارة TRITON هجومًا على نظام شنايدر إلكتريك Triconex المزود بأدوات السلامة (SIS). هذه الوحدة مسؤولة عن بدء إجراءات الإغلاق الآمن في حالة الطوارئ.
• من خلال تغيير البرامج الثابتة في الذاكرة لدمج البرمجة الجديدة، يهاجم فيروس TRITON وحدات تحكم السلامة في Triconex Tricon، مما قد يتسبب في تلف المنشأة وانقطاع النظام وحتى الموت إذا فشل SIS في تنفيذ إجراءات الإغلاق الآمن.
• قامت شنايدر إلكتريك بتصحيح الثغرة الأمنية (باستخدام طراز Tricon 3008 v10.0-10.4)، عندما تم إصدار الإصدار 11.3 من وحدة تحكم Tricon في يونيو 2018. ومع ذلك، لا تزال الإصدارات القديمة من وحدة التحكم قيد الاستخدام وعرضة لهجمات مماثلة.

الجهات الفاعلة البارزة في مجال التهديد

• من بين تهديدات قطاع الطاقة التي حددتها xviGil، كانت 5 جهات تهديد رئيسية مسؤولة عن حوالي 20٪ من التهديدات.
• من بين الجهات الفاعلة الخمسة في مجال التهديد، كان 3 ممثلين يستخدمون مقابض «mont4na» و «babam» و «Kristina» مسؤولين عن تسرب البيانات والوصول إليها أكثر من أي جهة تهديد أخرى.

[معرف التسمية التوضيحية = «المرفق _19277" align= «alignnone» width="1200"] أهم 5 جهات تهديد تستهدف قطاع النفط والطاقة [/caption]

مونت4na

• تكمن مجموعة مهارات الممثل في استغلال ثغرات حقن SQL بشكل أساسي في لوحات تسجيل الدخول. في السابق، كانت mont4na تبيع نقاط الضعف بنشاط وتطلب من المشترين جلب قاعدة البيانات. ولكن مع مرور الوقت، تشمل أنشطته نشر عمليات تسجيل الدخول وقواعد البيانات في بعض الحالات. في حين أن أهدافه منتشرة في جميع أنحاء العالم، فقد استهدف فقط الشركات ذات السمعة الطيبة.
• كان الممثل غير نشط لمدة 10 أشهر تقريبًا حتى أواخر نوفمبر 2021. ومع ذلك، بعد ذلك، كان هناك أكثر من خمسين منشورًا. يقوم الممثل أيضًا بحذف إعلانه بمجرد بيع الثغرة الأمنية أو الوصول.

بابام

• بابام هو وسيط الوصول الأولي (IAB) في منتدى الجرائم الإلكترونية الروسي، نشط في قسم المزاد بالمنتدى.
• يتخصص الممثل في بيع أنواع مختلفة من عمليات الوصول (بما في ذلك Citrix و RDP و RDWeb و VPN) من جميع أنحاء العالم.
• يشير تاريخ الممثل وأنواع الوصول المعلن عنها إلى أن الممثل يستخرج عمومًا بيانات الاعتماد من سجلات البرامج الضارة أو الروبوتات الخاصة بسرقة المعلومات.
• يتمتع الممثل بسمعة طيبة في المنتدى، ولكن بسبب المشكلات المتعلقة بالدفع مع بعض المشترين، تم حظرهم من المنتدى في 19 أكتوبر 2021.

كريستينا

• كريستينا عبارة عن مقبض تستخدمه مجموعة تهديد كانت تُعرف سابقًا باسم فريق Kelvin Security.
• تستخدم المجموعة التشويش المستهدف وتستغل نقاط الضعف الشائعة لاستهداف الضحايا. نظرًا لكونهم يتمتعون بمهارات عالية في استخدام الأدوات ولديهم معرفة واسعة بمختلف عمليات الاستغلال، فإنهم يشاركون قائمة الأدوات والحمولات الخاصة بهم مجانًا.
• عادة ما تستهدف الضحايا باستخدام التقنيات الأساسية الشائعة أو البنية التحتية في أي وقت.
• لا تخجل المجموعة من الاهتمام والمعلومات المشتركة علنًا مثل الثغرات الجديدة والأهداف وقواعد البيانات في منتديات الجرائم الإلكترونية وقنوات الاتصال مثل Telegram.
• في الآونة الأخيرة، بدأوا مواقع الويب الخاصة بتسريب البيانات حيث يمكن للجهات الفاعلة الأخرى أن تأتي وتشارك قواعد البيانات.

نظرة عامة على برنامج TRITON الضار

• يُعرف برنامج TRITON الضار باستهداف أنظمة أدوات السلامة [SIS] لإحداث أخطاء في الأجهزة تؤدي إلى تلف نظام الأمان في شبكات OT وفشله في النهاية.
• في الماضي، هاجمت البرامج الضارة وحدات المعالج الرئيسية لشركة شنايدر إلكتريك Triconex MP3008 التي تعمل بإصدارات البرامج الثابتة 10.0-10.4.
• TRITON ليس برنامجًا ضارًا عامًا يستهدف تكنولوجيا المعلومات. بدلاً من ذلك، إنه برنامج ضار مصمم خصيصًا يهدف إلى التشغيل على أجهزة SIS محددة جدًا من اختيار المهاجم.
• البرامج الضارة قادرة على استغلال الثغرات الأمنية في اليوم صفر في البرامج الثابتة للجهاز لإجراء تصعيد الامتيازات من أجل إكمال مهام محددة.
• TRITON عبارة عن برنامج ضار يديره الإنسان. تخترق الجهات الفاعلة في التهديد في البداية شبكة OT وتحصل على وصول غير مصرح به إلى وحدة التحكم في الأمان لنشر البرامج الضارة.

عمل شركة تريتون

• في إحدى الحملات التي كشفت عنها CISA، نشر الخصوم أصولًا متعددة مكتوبة في برامج Python و PowerPC لاستهداف Triconex MP3008 المستند إلى PowerPC.
• يقوم عامل التهديد بتنفيذ ملف Python القابل للتنفيذ بعد الإدخال الأولي الذي ينفذ حاقنًا لتعديل البرنامج الثابت لوحدة التحكم لإلحاق غرسة TRITON في الذاكرة. الزرع يخدم الغرض من RAT.
• عند إرسال أمر معروف (مشغل) إلى وحدة التحكم المخترقة، تبدأ عملية الزرع في التنفيذ، مما يمنح ممثل التهديد السيطرة الكاملة على وحدة التحكم.
• تحتوي وحدة python الرئيسية على تطبيق مخصص لبروتوكول TriStation المستخدم لإجراء اتصالات بين النظام المخترق ووحدة التحكم في الأمان Tricon.
• يحتوي برنامج TRITON الضار على المكونات التالية:
  • يتم استخدام برنامج قابل للتنفيذ لبرمجة جهاز Tricon بدون برنامج TriStation Protocol.
  • رمز غلاف أصلي قائم على Power-PC يعمل كحاقن يقوم بحقن الزرع الضار.
  • الزرع الضار عبارة عن رمز غلاف أصلي قائم على Power-PC قادر على إجراء عمليات الكتابة/القراءة في ذاكرة البرنامج الثابت وتنفيذ التعليمات البرمجية على عنوان عشوائي داخل البرنامج الثابت.
• يحتوي الحاقن على منطق معقد يقوم بإجراء فحوصات مختلفة لاستغلال الثغرات الأمنية لمدة 0 يومًا في البرنامج الثابت، لتصعيد الامتياز لكتابة الزرع في نهاية المطاف في مساحة عنوان البرنامج الثابت.
• بمجرد حصول الحاقن على أذونات المشرف من خلال استغلال اليوم 0، يقوم بنسخ رمز غلاف الزرع في مساحة عنوان البرنامج الثابت ويقوم بتصحيح فحص تناسق ذاكرة الوصول العشوائي/ذاكرة القراءة فقط للتأكد من عدم خطأ وحدة التحكم في تعديل البرنامج الثابت وإجراء تغييرات للانتقال السريع إلى إدخال الجدول لأمر بروتوكول TriStation محدد بحيث يشير إلى عنوان الزرع المنسوخ.
• عندما تنجح البرامج الضارة في إلحاق الزرع بالبرنامج الثابت لوحدة التحكم، من خلال إصدار أمر بروتوكول Tristation المعدل، يمكن لممثل التهديد استدعاء الزرع لإعادة برمجة وحدة التحكم.
• ستكون التغييرات التي تم إجراؤها على البرنامج الثابت ثابتة فقط في الذاكرة وستفقد عند إعادة ضبط الجهاز.

تأثير الهجمات الإلكترونية والتخفيف من حدتها

التأثيرالتخفيف

• يمكن استخدام المعلومات المسربة للوصول الأولي إلى البنية التحتية للشركة.
• إذا لم يتم تشفير البيانات المسربة، فقد يؤدي ذلك إلى تمكين عمليات الاستحواذ على الحساب.
• قد تؤدي كلمات المرور الشائعة الاستخدام أو كلمات المرور الضعيفة إلى هجمات القوة الغاشمة.
• سيزود الجهات الفاعلة الخبيثة بالتفاصيل المطلوبة لشن هجمات رانسوم وير متطورة.

• تحقق من الحلول والتصحيحات الممكنة مع إبقاء المنافذ مفتوحة.
• قم بتطبيق سياسة كلمة مرور قوية وتمكين MFA (المصادقة متعددة العوامل) عبر عمليات تسجيل الدخول.
• قم بتصحيح نقاط النهاية الضعيفة والقابلة للاستغلال.
• راقب الحالات الشاذة في حسابات المستخدمين، والتي قد تشير إلى عمليات استحواذ محتملة للحساب.

مؤشرات التسوية (IOCs)

شا-11 دي دي 89871 سي 4 اف 8 ايكا 7a42642 bf4c5ec2a7688 اف دي 5 سي 25 دي 6785 ب 941 قدم 6085 دي دي 5 بي 4 دي دي اف 0441077e222 a6357a8792 e68b05690a9736 bc3051 cb4b 43227 دي 81f383624955 e0c0441734 قدم 9f1 dabfe03 f373 cd6e997a4b6a54d1aeedb646731 f3b0893aeee4b8278265509956028b34a9 cb44d8d1 fcc 7d0690 be266 d39af5d5d6157 ea29e4b213f8 عمق 7d7c9598 سرير 1c7769053 cd69988744353 b3abee01397e785e92b416638c3a584ffce9f8f0434a5fdf403292 f6cb315 c84f84f6c51490e2e2e8c8c6862262362200a280ead 1348c81e957 32 بيب82 و 6311 د 0

المراجع

• * https://en.wikipedia.org/wiki/Intelligence_source_and_information_reliability
• ^#https://en.wikipedia.org/wiki/Traffic_Light_Protocol
• https://www.cisa.gov/uscert/ncas/alerts/aa22-083a
• https://www.aha.org/system/files/media/file/2022/03/fbi-pin-tlp-white-triton-malware-remains-threat-to-global-critical-infrastructure-industrial-control-systems-ics-3-24-22.pdf