كشفت تقارير حديثة عن اكتشاف ما يزيد عن 5200 جهاز متصل بالإنترنت، تابعة للبنية التحتية الحيوية ويُعتقد أنها مستهدفة من قبل جهات فاعلة مدعومة من الحكومة الإيرانية. يأتي هذا الكشف في ظل تحذيرات متزايدة بشأن تزايد التهديدات السيبرانية الموجهة للقطاعات الحيوية.
حددت شركة Censys للأمن السيبراني هذه الأجهزة، وهي وحدات تحكم منطقية قابلة للبرمجة (PLC) من إنتاج شركة Rockwell Automation/Allen-Bradley، واعتقدت أنها قد تكون مكشوفة أمام جهات هجومية حكومية. ووفقاً للتحليل، فإن ما يقرب من 3900 جهاز من هذه الأجهزة، أي ما يعادل حوالي ثلاثة أرباع الإجمالي، موجودة في الولايات المتحدة.
تهديدات واسعة النطاق للاستهدف السيبراني الإيراني
جاءت نتائج Censys بعد فترة وجيزة من إصدار تنبيه مشترك من قبل عدة وكالات فيدرالية أمريكية، بما في ذلك مكتب التحقيقات الفيدرالي (FBI) ووكالة الأمن القومي (NSA). وأشارت هذه الوكالات إلى أن جهات فاعلة مدعومة من الحكومة الإيرانية استغلت مؤخراً أجهزة تتحكم في عمليات الأتمتة الصناعية، مما أدى إلى تعطيل خدمات في قطاعات متعددة خلال الشهر الماضي.
تستخدم هذه الأجهزة، المعروفة بتقنيات التشغيل (OT)، على نطاق واسع في قطاعات حيوية مثل الطاقة، وأنظمة المياه والصرف الصحي، بالإضافة إلى الخدمات والمرافق الحكومية الأمريكية. وهذا الانتشار الواسع يجعلها أهدافاً جذابة لشن هجمات سيبرانية قد يكون لها عواقب وخيمة.
رصدت عمليات المسح التي أجرتها Censys وجود 5219 جهازاً من طراز Rockwell Automation/Allen-Bradley مكشوفاً على الإنترنت. تم الكشف عن هذه الأجهزة بناءً على التفاصيل التي شاركتها الوكالات الفيدرالية، والتي نشرت أيضاً مؤشرات إضافية للاختراق، بما في ذلك عناوين IP للمشغلين واستعلامات لمواجهة التهديدات.
اتصال شبكي ونقاط ضعف
وجد الباحثون في Censys أن معظم الأجهزة المكشوفة متصلة عبر أنظمة خلوية، مما يزيد من المخاطر المحتملة، خاصة في المواقع الميدانية البعيدة. وتشير البيانات إلى أن ما يقرب من نصف هذه الأجهزة عالمياً متصلة بشبكة Verizon اللاسلكية، بينما 13% منها تعتمد على البنية التحتية لشركة AT&T.
أشار تقرير Censys إلى أن هذه الأجهزة غالباً ما تكون مثبتة في مواقع ميدانية، مثل محطات الضخ، والمحطات الفرعية، والمرافق البلدية، وتعتمد على الاتصال الخلوي كمسار وحيد للإنترنت. هذا الاعتماد على نوع واحد من الاتصال قد يخلق نقاط ضعف إضافية.
تتفاقم مساحة الهجوم المحتملة بسبب وجود خدمات إضافية مكشوفة على منافذ أخرى في هذه الأجهزة. وقد حذرت Censys من أن هذا الاكتشاف قد يمنح المهاجمين مسارات مباشرة للوصول إلى العمليات، بما يتجاوز مجرد استغلال وحدات التحكم المنطقية القابلة للبرمجة.
نماذج مكشوفة وبرمجيات قديمة
تمكن الباحثون من تحديد نماذج MicroLogix و CompactLogix المكشوفة لحملة التهديدات الأخيرة، ونشروا قائمة بأكثر 15 منتجاً تعرضاً للخطر. وتشير النتائج إلى أن العديد من هذه الأجهزة تعمل ببرمجيات قديمة أو توقفت عن تلقي الدعم، مما يزيد من مخاطر استغلال الثغرات الأمنية غير المصححة.
ترجع أصول هذه الهجمات السيبرانية إلى شهر مارس الماضي على الأقل، وتزامنت مع أحداث جيوسياسية أدت إلى زيادة التوترات. وقد استمرت الهجمات بالتزامن مع إعلان جهات فاعلة أخرى مدعومة من الحكومة الإيرانية عن استهداف ضحايا آخرين، بما في ذلك شركات كبرى وحكومات محلية.