زیمنس انرژی در حال بررسی ادعای حمله سایبری است

 شبکه‌‌‌های برق همواره یک هدف جذاب برای حملات سایبری هستند. در واقع بخش انرژی قربانی اصلی حملات سایبری در سراسر جهان شده است و در حال حاضر مدیران این شرکت‌ها، حملات سایبری را به عنوان بزرگ‌ترین خطر خود قلمداد می‌‌‌کنند. از آنجا که سیستم‌های توزیع برق جزو زیرساخت‌‌‌های حیاتی هر کشوری محسوب می‌‌‌شوند، بدون شک سلامت آنها برای عملکرد جامعه و اقتصاد ضروری هستند. لذا هرگونه حمله‌‌‌ سایبری می‌‌‌تواند منطقه آسیب‌‌‌دیده و فراتر از آن را فلج کند. علاوه بر این امروزه شبکه‌‌‌های توزیع برق پیچیده‌‌‌تر و پراکنده‌‌‌تر شده‌‌‌اند و بیش از همیشه به هم متصل هستند. لذا عملا به این صورت، شبکه آسیب‌‌‌پذیری‌‌‌های بیشتری را برای هکرها ایجاد می‌‌‌کند و امکان وقوع حمله بالقوه دیگری را افزایش می‌‌‌دهد.

باند باج‌‌‌افزاری که با نام TA۵۰۵ نیز شناخته می‌‌‌شود، از ۲۷ مه‌۲۰۲۳ شروع به بهره‌‌‌برداری از یک حفره آسیب‌‌‌پذیر در MOVEit Transfer، یک برنامه تحت وب خودکار انتقال فایل با اینترنت کرد و طبق گزارش‌‌‌ها، صدها شرکت در سراسر جهان به عنوان قربانیان این باج‌افزار فهرست شده‌اند. این گروه زیمنس انرژی، اشنایدر الکتریک و گروهی از نهادهای دیگر را به عنوان قربانیان جدید در سایت دارک وب خود که یک پلتفرم اطلاعاتی امنیت سایبری به نام FalconFeeds در ۲۷ ژوئن گزارش داد، فهرست کرده است. زیمنس انرژی در بیانیه‌‌‌ای در این خصوص اظهار کرد که از این اطلاعیه آگاه است و به همکاری نزدیک با شرکای دولتی و مشتریان خود برای تعیین اینکه آیا این ادعاها واقعی هستند یا خیر، ادامه می‌‌‌دهد. یکی از مقامات شرکت خاطرنشان کرد: ما یک تیم پاسخگویی به حوادث در سطح جهانی داریم و یک سازمان ProductCERT داریم که مسوول افشای آسیب‌‌‌پذیری‌‌‌ها یا حمله سایبری در صورت وقوع است.

رویکرد موذیانه گروه CL۰P

گروه باج‌افزاری CL۰P به دلیل توانایی‌‌‌هایش برای آلوده کردن برنامه‌‌‌ تحت وب MOVEit Transfer با بدافزار خاص، که سپس برای سرقت داده‌‌‌ها از پایگاه‌‌‌های داده MOVEit Transfer استفاده می‌‌‌شود، تحت پیگیری و بررسی اداره تحقیقات فدرال (FBI) ایالات متحده قرار گرفته است. آژانس امنیت سایبری و امنیت زیرساخت (CISA) می‌گوید: گروه کلوپ که در فوریه ۲۰۱۹ ظاهر شد و در حقیقت از نوعی باج‌‌‌افزار با نام CryptoMix تکامل یافت، از باج‌‌‌افزار خدماتی (RaaS) در کمپین‌‌‌های فیشینگ در مقیاس بزرگ سوء‌استفاده کرد تا از یک باینری تأیید شده و امضای دیجیتالی برای دور زدن دفاع‌‌‌های سیستم استفاده کند. از جمله اقداماتی که CISA برای جلوگیری یا کاهش اثرات توصیه می‌‌‌کند این است که نهادها تنها یک تأسیسات و موجودی داده را ارائه دهند، فقط امتیازات اداری خاص را اعطا کنند و پیکربندی‌های امنیتی را در دستگاه‌های زیرساخت شبکه مانند فایروال‌ها و روترها فعال کنند.

علاوه بر این، وزارت امور خارجه ایالات متحده، تحت طرحی با عنوان پاداش برای عدالت، در ۱۶ ژوئن تا ۱۰ میلیون دلار جایزه برای افشاگری اطلاعاتی در خصوص گروه باج‌افزار CL۰P یا هر عامل سایبری مخرب دیگری که زیرساخت‌های حیاتی ایالات متحده را به یک دولت خارجی مرتبط می‌کند، پیشنهاد کرد. از طرف دیگر تحقیقات در خصوص تنش‌های انرژی زیمنس در حال انجام است. یک مقام شرکت گفت که زیمنس انرژی، شرکتی که سرمایه‌گذاری زیادی در امنیت سایبری صنعتی انجام داده است، وارد عمل شده و تیم‌های تحقیقاتی این غول صنعتی در حال کار برای راستی‌آزمایی این حمله هستند. مانند بسیاری از نهادهای صنعتی، این شرکت موضع رسمی خود را به مرکز تجزیه و تحلیل و به اشتراک‌گذاری اطلاعات الکتریسیته (E-ISAC)، شبکه اشتراک‌گذاری اطلاعات تهدیدات قابلیت اطمینان الکتریکی آمریکای شمالی (NERC) اعلام می‌کند.

این مقام گفت، مشتریان انرژی زیمنس همچنین اطلاعات را از طریق تیم ProductCERT خود به اشتراک می‌گذارند که تمام مسائل مربوط به امنیت را در محصولات، راه حل‌ها و خدمات زیمنس انرژی مدیریت می‌کند. این مقام در ادامه خاطرنشان کرد: از آنجا که این موضوعات به‌صورت بلادرنگ تکامل می‌یابند، توانایی ما برای توصیف آنچه اتفاق افتاده و چگونه اتفاق افتاده است دقیق‌تر می‌شود. ما در مرحله تحقیقات اولیه و پاسخ به پست گروه باج‌افزار CL۰P هستیم. این مقام تصریح کرد: ۴۸ ساعت اول معمولا شامل جمع‌‌‌آوری اطلاعات بسیاری از طرف‌‌‌های داخلی و خارجی برای اطمینان از این است که ما واقعا وضعیت آنچه را که اتفاق می‌‌‌افتد گزارش می‌‌‌کنیم.  او گفت: احتمالا طی چند هفته آینده، اطلاعات اضافی در این رابطه منتشر خواهد شد و در پشت صحنه، ما مستقیما با شرکای صنعتی و مشتریان خود به کار ادامه خواهیم داد.

تهدیدات باج‌افزار برای محیط‌های OT

شرکت قابلیت اطمینان الکتریکی آمریکای شمالی (NERC) در گزارش وضعیت قابلیت اطمینان ۲۰۲۳ خود که به تازگی منتشر شده است، تهدیدات فزاینده باج‌افزار برای بخش برق را برجسته کرده است. در سال ۲۰۲۲، در حالی که هیچ قطعی سیستم برق مشتری یا انبوه مرتبط با حملات سایبری گزارش نشد، سازمان قابلیت اطمینان الکتریکی ایالات متحده (ERO) اعلام کرد که ۸ گزارش حادثه امنیت سایبری (CIP-۰۰۸-۶) یا تلاش برای مصالحه  را دریافت کرده است. باج‌افزار در طول سال ۲۰۲۲ بر سیستم قدرت انبوه تأثیری نداشت، اما E-ISAC هشدار داده است که تهدیدها همچنان زیرساخت‌های حیاتی را هدف قرار می‌دهند. نهادهای فدرال به طور خاص توسعه کد باج‌افزار را که محیط‌های فناوری اطلاعات (IT) و فناوری عملیاتی (OT) را هدف قرار می‌دهد، تحت نظر دارند.

شرکت NERC می‌گوید: باج‌‌‌افزارها به تأثیرگذاری بر صنعت برق و تأمین‌‌‌کنندگان کلیدی فروش ادامه می‌دهند. در حالی که منافع مالی اغلب انگیزه اصلی باج‌‌‌افزارهای فراملیتی است، تعدادی از این گروه‌‌‌ها ممکن است با حمایت ضمنی دشمنان ایالات متحده مانند روسیه و چین نیز فعالیت کنند. در همین حال، در سال ۲۰۲۲، FBI بیش از ۸۰۰ شکایت جنایی باج‌افزار از اپراتورهای زیرساخت حیاتی دریافت کرد. این شامل ۱۵ مورد از نهادهای بخش انرژی مانند صاحبان تأسیسات برق و اپراتورها بود. از برترین انواع باج‌افزار می‌توان به LockBit، ALPHV/ BlackCat و Hive اشاره کرد.