تهديد البرامج الضارة للبنية التحتية الحيوية يثير الإنذارات

حذر تقرير صدر يوم الأربعاء عن موقع أبحاث الأمن السيبراني Comparitech من أن البرامج الضارة التي تؤثر على أنظمة التحكم الصناعية (ICS) لديها القدرة على تعطيل الصناعات الرئيسية التي يقوم عليها المجتمع الحديث.

تعد أجهزة ICS المعرضة للإنترنت هدفًا رئيسيًا للجهات الفاعلة في مجال التهديد، وخاصة تلك التي تستخدم البروتوكولات القديمة مثل Modbus، وفقًا للباحث جوستين شاموتا.

حدد شاموتا 179 جهاز ICS معرضًا للإنترنت في تقريره. وكتب: “لقد حددنا أحد أجهزة ICS على أنه جزء من شبكة السكك الحديدية الوطنية”. “تستخدم السكك الحديدية أجهزة ICS للمساعدة في كل شيء بدءًا من توجيه القطارات وحتى إرسال الإشارات. وقد يمثل التعرض لهذه الأجهزة مخاطر جسيمة على مستوى التشغيل والسلامة.”

وأضاف: “يشكل جهازان آخران (أحدهما في آسيا والآخر في أوروبا) جزءًا من البنية التحتية لشبكة الطاقة الوطنية في كل منهما”. “في قطاع إمدادات الطاقة، يمكن استخدام أجهزة ICS لمراقبة الاستهلاك والتحكم في توزيع الكهرباء.”

وأشار شاموتا إلى أن الولايات المتحدة لديها أكثر أجهزة التحكم الصناعية تعرضا، 57، تليها السويد بـ 22 وتركيا بـ 19.

قال بول بيشوف، محامي خصوصية المستهلك في Comparitech: “يمكن للبرامج الضارة أن تشل أنظمة ICS وتجعلها غير قابلة للاستخدام، وغالبًا ما يتم ذلك حتى يتم دفع الفدية”.

وقال لـ TechNewsWorld: “تُستخدم هذه الأنظمة في البنية التحتية الحيوية والتصنيع، لذا فإن مهاجمتها يمكن أن يكون لها عواقب وخيمة على الأشخاص والشركات التي تعتمد عليها”. وأضاف: “محطات الطاقة، ومرافق معالجة المياه، والرعاية الصحية، ومراقبة حركة المرور، والمصانع هي من بين تلك التي يمكن استهدافها”.

تداعيات الهجوم تنتشر بسرعة

لاحظ شوجاتالي بادامي، مهندس أبحاث إنترنت الأشياء الكمي في شيكاغو، أن “البرامج الضارة لـ ICS تتخطى الفجوة المادية السيبرانية وتسبب أضرارًا حركية في العالم الحقيقي”.

واستشهد بالهجوم الذي وقع في يناير 2024 في مدينة لفيف الأوكرانية، حيث أرسلت البرمجيات الخبيثة المسماة FrostyGoop أوامر Modbus إلى وحدات التحكم في التدفئة، مما أدى إلى خفض الحرارة عن حوالي 600 مبنى سكني أثناء درجات حرارة تحت الصفر. وقال لـ TechNewsWorld: “إننا نتتبع الآن 26 مجموعة تهديد للتكنولوجيا التشغيلية وأكثر من 11 عائلة من البرمجيات الخبيثة الخاصة بأنظمة التحكم الصناعية”. “هذا لم يعد نظريا بعد الآن.”

وأوضح مايكل بيل، الرئيس التنفيذي لشركة Suzu Labs، في لاس فيغاس، وهي شركة تقدم خدمات الأمن السيبراني المدعومة بالذكاء الاصطناعي، أن “بيئات ICS تدير العمليات الفيزيائية وراء معالجة المياه، وتوليد الطاقة، وخطوط أنابيب النفط والغاز، وخطوط التصنيع”.

وقال لـ TechNewsWorld: “عندما يدخل أحد المهاجمين إلى شبكة تكنولوجيا المعلومات، فإنك تفقد البيانات”. “عندما يدخلون إلى شبكة التكنولوجيا التشغيلية، فإنك تفقد القدرة على التحكم في الأنظمة المادية التي تبقي الناس على قيد الحياة وتدير الاقتصادات.”

يمكن أيضًا أن يكون للهجمات على بيئات ICS “نطاق انفجار” كبير.

وأوضح فلوريس دانكارت، مدير المنتج الرئيسي للكشف والاستجابة الموسعة المُدارة في مجموعة NCC، وهي شركة استشارية عالمية للأمن السيبراني، أن “اعتماد القطاع الصناعي على سلاسل التوريد المترابطة للغاية يزيد بشكل كبير من تأثير الهجمات”.

وقال لـ TechNewsWorld: “يمكن لتسوية واحدة ناجحة أن تمتد عبر الموردين ومقدمي الخدمات اللوجستية والشركاء النهائيين، مما يؤدي إلى تفاقم الاضطراب إلى ما هو أبعد من المنظمة المستهدفة الأولية”. “يستمر هذا الترابط في جعل القطاع الصناعي هدفًا جذابًا للجهات الفاعلة التي تسعى إلى تحقيق أقصى قدر من الحجم والتأثير.”

تزايد ثغرات ICS

واستشهد تقرير Comparitech أيضًا بالأبحاث الحديثة التي أجرتها Cyble Research & Intelligence Labs، والتي كشفت أن الكشف عن ثغرات ICS تضاعف تقريبًا بين عامي 2024 و2025.

“لقد تم تصميم أنظمة ICS في الأصل لأداء وظائف تشغيلية محددة في بيئات معزولة،” أوضحت شيلا رانا، العضو البارز في IEEE، وهي منظمة مهنية تقنية عالمية.

وقالت لـ TechNewsWorld: “لم يكن الأمن أحد الاعتبارات الأساسية لأن هذه الأنظمة لم يكن المقصود منها أبدًا أن تكون قابلة للوصول عبر الإنترنت”. “كان من المفترض أن يستخدمها البشر والآلات الأخرى.”

وأشار رانا إلى أنه مع مرور الوقت، أدى التوجه نحو المراقبة عن بعد والاتصال بـ Industry 4.0 إلى القضاء على هذه العزلة، وتعرضت هذه الأنظمة فجأة لمشهد تهديد لم يتم تصميمها للتعامل معه على الإطلاق. وقالت: “لقد أدى هذا التقارب بين تكنولوجيا المعلومات والتكنولوجيا التشغيلية إلى توسيع نطاق الهجوم بشكل كبير”.

وتابعت: “في الوقت نفسه، كان مجتمع البحوث الأمنية يولي اهتمامًا أكبر لبيئات التكنولوجيا التشغيلية. فالمزيد من الباحثين الذين يبحثون يعني اكتشاف المزيد من الثغرات الأمنية والكشف عنها”. “إن الجمع بين الأنظمة القديمة غير الآمنة بطبيعتها وزيادة التدقيق هو ما يدفع إلى هذا الارتفاع الحاد في الإفصاحات.”

وأضاف جوشوا ماربيت، كبير مستشاري أمن المنتجات في شركة Finite State في كولومبوس، ومقرها أوهايو، والتي تعمل على أتمتة الامتثال والتحليل الأمني ​​لمصنعي الأجهزة المتصلة، أن جزءًا من الزيادة في عمليات الكشف عن الثغرات الأمنية يعود إلى الحجم الهائل للأهداف المتصلة حديثًا.

وقال لـ TechNewsWorld: “مثلما بدأت أجهزة إنترنت الأشياء – مثل الطائرات بدون طيار، وأجهزة تنظيم الحرارة Nest، والثلاجات الذكية – في الاتصال بالإنترنت، حدث الشيء نفسه في العالم الصناعي”. “تم توصيل التكنولوجيا التشغيلية وأجهزة ICS/SCADA للمراقبة والإدارة والتحكم عن بعد. ومع الاتصال بالإنترنت تأتي قدرة ممثل خبيث على رؤية تلك الأجهزة ومهاجمتها. لذلك، مثلما تم اختراق بعض الثلاجات، تم اختراق بعض المصانع أيضًا.”

مخاطر البروتوكول القديم

وبالنظر إلى أن سوق أنظمة الأتمتة والتحكم الصناعية العالمية تبلغ قيمتها حاليًا 226.76 مليار دولار أمريكي، ومن المتوقع أن تنمو إلى 504.38 مليار دولار أمريكي بحلول عام 2033، فإن عدد الأجهزة الصناعية المتصلة يتزايد بسرعة، حسبما أشار تقرير Comparitech.

ويمثل هذا التوسع تحديًا كبيرًا للأمن السيبراني: حيث يقدم كل جهاز متصل بالشبكة حديثًا أسطح هجوم محتملة يجب حمايتها. بدون الضمانات المناسبة مثل جدران الحماية والشبكات الافتراضية الخاصة (VPN) وتجزئة الشبكة والمصادقة الآمنة، تصبح أجهزة ICS المعرضة للإنترنت أهدافًا سهلة.

وأضافت أنه من وجهة نظر المهاجم، فإن الأجهزة التي تستخدم بروتوكولات مثل Modbus أو DNP3 أو BACnet معرضة للخطر بشكل خاص لأنها مصممة للشبكات المغلقة وغالبًا ما تفتقر إلى المصادقة أو التشفير المدمج. ويمكن استغلال هذه الأجهزة من قبل مهاجمين يتمتعون بخبرة فنية محدودة في حالة تعرضها مباشرة للإنترنت. وهذا أمر مثير للقلق بشكل خاص نظرًا للدور الحاسم الذي تلعبه بعض أجهزة ICS في النشاط الاقتصادي والبنية التحتية الأساسية.

قال ديل هوك، كبير مسؤولي أمن المعلومات في RegScale، وهي شركة برمجيات أتمتة للامتثال في ماكلين بولاية فيرجينيا، إنه لا يمكن التعامل مع أمن ICS مثل أمن تكنولوجيا المعلومات التقليدي. وقال لـ TechNewsWorld: “لا يمكنك تصحيح كل شيء فقط”. “وقت التوقف عن العمل غير مقبول، وغالبًا ما تفوق السلامة والتوافر السرية.”

وأضاف: “إذا كان علي أن ألخص الأمر ببساطة، فإنك لا تقوم بتأمين أنظمة التحكم الصناعية من خلال مطاردة التهديدات. بل تقوم بتأمينها من خلال الفهم المستمر للبيئة والتحكم فيها”.

وأكد ويل توماس، أحد كبار مستشاري استخبارات التهديدات في شركة Team Cymru، وهي شركة استخبارات تهديدية في ليك ماري بولاية فلوريدا، أن هذا هو “عصر اعتماد” البرمجيات الخبيثة لأنظمة الرقابة الصناعية – مما يعني أن الأسلحة الرقمية المتطورة تُستخدم الآن بشكل روتيني من قبل أجهزة استخبارات الدولة القومية بدلاً من كونها مجرد مفاهيم تجريبية.

وقال: “يستخدم الخصوم بشكل متزايد شبكات صندوق الترحيل التشغيلي لإخفاء أصولهم ويستخدمون تكتيكات “العيش خارج الأرض” لتجنب اكتشافهم بمجرد دخولهم إلى الشبكة”. “للتغلب على مشهد التهديدات عالي القدرة، يجب على المؤسسات أن تدرك أن أجهزة ICS القديمة لا ينبغي أبدًا أن تكون متصلة مباشرة بالإنترنت العام.”

مخاطر طول العمر

أحد أكبر التحديات التي تواجه الأمن السيبراني في البنية التحتية الحيوية هو العمر الطويل للأجهزة، كما أشار تيم ماكي، رئيس استراتيجية مخاطر سلسلة توريد البرمجيات في شركة Black Duck Software، وهي شركة لأمن التطبيقات في برلينجتون بولاية ماساشوستس.

وقال لـ TechNewsWorld: “الشيء الذي تم تصميمه واختباره وفقًا لأفضل الممارسات المتاحة عند إصداره يمكن أن يصبح بسهولة عرضة للهجمات باستخدام هجمات أكثر تعقيدًا في وقت لاحق من دورة حياته”. “في الواقع، قد لا تكون أفضل الممارسات القديمة على مستوى مهمة التخفيف من التهديدات الحالية، أو ما هو أسوأ من ذلك، تلك التي قد يتم نشرها في السنوات المقبلة.”

وقال: “بما أن المهاجمين يعرفون أن مقدمي البنية التحتية الحيوية يتم قياسهم من حيث وقت تشغيلهم أو توفر الخدمة، فبمجرد تعرض الجهاز للخطر، يعرف المهاجمون أن لديهم ترف التخطيط والتخطيط لهجوم مستهدف للغاية بدلاً من مجرد الانتهازية”.

وأضافت روزاريو ماستروجياكومو، الرئيس التنفيذي للاستراتيجية في Sphere Technology Solutions، وهي شركة برمجيات وخدمات حوكمة البيانات في هوبوكين، نيوجيرسي: “إحدى النقاط المهمة هي أن البرامج الضارة ليست سوى جزء من القصة”.

وقال لـ TechNewsWorld: “لا تزال بعض عمليات اختراق التكنولوجيا التشغيلية وأنظمة التحكم الصناعية الأكثر خطورة تبدأ بمشكلات أساسية، مثل بيانات الاعتماد الافتراضية، وضعف الوصول عن بعد، وضعف التجزئة، وعدم كفاية الرؤية للأصول المكشوفة”.

وقال: “لقد حذر المعهد الوطني للمعايير والتقنية (NIST) من أنه نظرًا لأن التكنولوجيا التشغيلية تتبنى الاتصال القياسي لتكنولوجيا المعلومات والوصول عن بعد، فإنها تفقد العزلة وتصبح أكثر عرضة للخطر، في حين أكدت CISA أنه حتى الأساليب غير المتطورة يمكن أن تعمل ضد بيئات التكنولوجيا التشغيلية سيئة التأمين”.

“بالنسبة للعديد من المشغلين، لا تزال أكبر المكاسب تأتي من الأساسيات – تقليل التعرض للإنترنت، وتقوية الوصول عن بعد، وفصل التكنولوجيا التشغيلية عن تكنولوجيا المعلومات، ومعرفة الأصول الموجودة، والاستعداد للعمليات المتدهورة أو اليدوية قبل وقوع أي حادث.”