دسترسی هکرهای ایرانی به تاسیسات یک مخزن بازیافت آب در اسرائیل

سه​‌شنبه یازدهم آذر ماه ۱۳۹۹، گروهی از هکرهای ایرانی ویدیویی را منتشر کردند که نشان می‌​دهد، اعضای این گروه توانسته‌​اند با استفاده از ضعف امنیتی موجود در سیستم کنترل صنعتی (ICS) یک مخزن بازیافت آب و یا آب اصلاح‌شده (Reclaimed water) در اسرائیل، به بخش مدیریت و کنترل عملکرد این مرکز دسترسی پیدا کنند.

 

آب بازیافتی یا آب اصلاح‌شده، اصطلاحی است که برای فرایند پاک‌سازی آب مضر یا فاضلاب به کار برده می‌​شود. در این فرایند، مواد جامد و ناخالصی‌​های فاضلاب حذف شده‌اند و از آب به‌جامانده برای شستشو، آبیاری، بازسازی منابع آب زیرزمینی آسیب‌​دیده، تامین آب برای امور صنعتی و حتی آب آشامیدنی استفاده می‌​شود. بازیافت و اصلاح آب مصرف‌شده یکی از اقدامات ضروری برای پایداری آب و حفظ سطح آب رودخانه‌​ها و اقیانوس​‌ها و بهبود اکوسیستم است.

شرکت «اوتریو» (OTORIO)، از جمله شرکت‌​های فعال در حوزه امنیت سایبری در صنایع، در گزارشی این تهاجم سایبری را تشریح کرده و گفته است هکرها از طریق ضعف امنیتی موجود در سیستم رابط انسان و ماشین (HMI) توانسته‌​اند از طریق اینترنت جهانی و بدون برخورد به هیچ سیستم تایید اعتبار، به این مجموعه نفوذ کنند و از بخش​‌های مهم آن دسترسی بگیرند.

به گفته شرکت اوتریو، این دسترسی به حدی جدی و عمیق بوده که به هکرها اجازه می​‌داده است، به هر میزان که مایل هستند تنظیمات حیاتی سیستم، مانند فشار آب و یا میزان دمای سیستم را تغییر دهند.

یک روز بعد از انتشار این ویدیو، صاحبان تاسیسات بازیافت آب در اسرائیل با راه‌​اندازی یک سیستم احراز هویت برای سیستم رابط انسان و ماشین (HMI) اقدام به ترمیم ضعف امنیتی موجود کردند. اما کاوش‌​های شرکت اوتریو نشان می‌​دهند که سیستم کنترل صنعتی این مخزن بازیافت آب از نوع «T-Box» متعلق به شرکت «Ovarro» است، که اساسا بر پروتکل «Modbus» استوار است و از پورت «۵۰۲» استفاده می​‌کند. این پروتکل در وضعیت «Modbus / TCP» باز هم مجموعه سیستم کامپیوتری این مخزن آب را بدون احراز هویت و رمزنگاری، به شکل مستقیم به اینترنت جهانی متصل می​‌کند. این یعنی ضعف امنیتی مذکور به شکل کامل ترمیم نشده است و هکرهای ماهرتر می​‌توانند همان دسترسی‌ها را دوباره از این مرکز بازیافت آب بگیرند. کارشناسان اوتریو استفاده از دسترسی‌​های امن مانند وی‌پی‌ان، و اعمال محدودیت دسترسی بر اساس قوانین فایروال و استراتژی دفاع فعال در عمق را برای جلوگیری از بروز مشکلات مشابه توصیه کرده‌​اند.

 

هکرهای این مخزن بازیافت آب که خود را با عنوان گروه «Unidentified TEAM» معرفی​ می​‌کنند، برای اولین بار ویدیو این نفوذ را در کانال تلگرامی فارسی‌زبان خود منتشر کردند. این گروه چند روز پیش از این نیز، به عنوان انتقام قتل «محسن فخری​‌زاده مهابادی»، معاون وزیر دفاع و رئیس سازمان پژوهش‌​های نوین دفاعی ایران، در هفتم آذر ۱۳۹۹، حملاتی را به چند وب‌سایت حاشیه‌​ای آمریکایی، از جمله وب‌سایت آموزشی دولت محلی ایالت تگزاس انجام داده بودند.

شرکت اوتریو هکرهای ایرانی را فاقد دانش عمیق صنعتی دانسته و گفته است که آن‌ها توانایی چندانی برای بهره‌برداری حداکثری از این ضعف امنیتی نداشته‌اند. 

تنها دو روز پیش از هک سیستم مدیریت صنعتی این مخزن بازیافت آب، خبر هک وب‌​سایت و سرورهای شرکت اسرائیلی «شیربیت» منتشر و نام هکرهای وابسته به جمهوری اسلامی به عنوان مظنون این تهاجم مطرح شدند.

مهاجمان به این شرکت اسرائیلی مطرح فعال در حوزه بیمه املاک و مستغلات، خودرو و بیمه​​‌های مسافرتی در اسرائیل، خود را تحت عنوان «سایه سیاه» (Black Shadow) معرفی کرده و در یک کانال تلگرامی با همین نام، ده​‌ها سند مربوط به مناسبات مالی و بانکی این شرکت، گواهی‌نامه‌​های رانندگی و گذرنامه شهروندان اسرائیلی که از شرکت شیربیت بیمه دریافت کرده‌​​اند، اطلاعات شخصی بیمه‌​شده​‌​ها، تصاویر شخصی، فایل صوتی گفت‌​وگو​ی کارکنان شرکت شیربیت با مشتریان، محتو​ای ایمیل​​‌های اداری و مکاتبات تلگرامی و واتس‌​اپی و مدارک مربوط به فعالیت​‌​های جانبی این شرکت را در دسترس عموم قرار داده​‌اند. در میان این اسناد، اطلاعات افرادی مهم و دارای موقعیت‌های سیاسی و اجتماعی حساس نیز به چشم می‌​خورند که از آن جمله می‌​توان به اطلاعات شخصی یک قاضی فدرال اشاره کرد.

به گفته کارشناسان امنیتی اسرائیل، اطلاعات به​‌سرقت‌​رفته عموما مربوط به کارکنان دولت اسرائیل بوده‌اند که بازتاب‌​دهنده مسائل خصوصی و شیوه زندگی آن‌​ها است و درز چنین اطلاعاتی از نظر سیاسی و امنیتی عواقب مثبتی در پی نخواهد داشت.

«زویکا لیبوشور»، مدیر ارشد شیربیت، ضمن بیان این موضوع که در حملات صورت‌گرفته هیچ صدمه‌​​ای به مشتریان این شرکت وارد نشده، گفته است حفظ امنیت اطلاعات مشتریان برای مجموعه این شرکت در صدر اولویت​‌ها قرار داشته و شیربیت در روزهای آتی برای بهبود سیستم حفاظت اطلاعات مشتریان، اقداماتی را برای جلب اعتماد مجدد آن‌ها صورت خواهد داد.

شرکت شیربیت همچنین همین موضوع را طی یک ایمیل گروهی به اطلاع مشتریان خود نیز رسانده است، اما نکته این‌جاست که هکرها تصویر همین ایمیل را به همراه ترجمه انگلیسی آن در کانال تلگرامی‌شان منتشر کرده‌​اند. و از نگاه امنیتی بازنشر محتوی این ایمیل توسط هکرها یعنی آن‌ها به سیستم داخلی این شرکت دسترسی داشته‌اند و قادر به مشاهده مناسبات داخلی این شرکت هستند.

 

مراکز اداری و شرکت‌​های خصوصی اسرائیل همواره یکی از اصلی​‌ترین اهداف ترجیحی هکرها، مخصوصا هکرهای کشور​های اسلامی هستند. اما به طور مشخص دو کشور ایران و اسرائیل، از جمله کشورهایی هستند که تخاصم آن‌ها چه در عالم واقع و چه در فضای مجازی بر کسی پوشیده نیست.

اگرچه دولت اسرائیل در اکثر موارد به شکل سنتی از تایید و یا تکذیب دخالت در حملات نظامی و سایبری علیه تاسیسات نظامی و هسته‌​ای جمهوری اسلامی پرهیز می​‌کند، اما اسناد درزکرده و همچنین اظهار نظر کارشناسان و حتی مقامات رسمی کشور​های غربی تایید می‌​کنند که نام اسرائیل، چه در بدافزار استاکس‌​​نت و چه در انفجارهای مشکوک چند ماه اخیر در تاسیسات نظامی، اتمی و موشکی ایران بسیار پررنگ‌تر از آن است که بتوان آن را نادیده گرفت.

در این سو نیز هکرهای مستخدم حکومت ایران، و یا هکتیویست‌​هایی هم که عملکردشان مورد تایید جمهوری اسلامی است، بیکار ننشسته و بارها اهداف مختلفی را در حوزه اقتصادی، نظامی، آموزشی، و حتی زیرساخت‌​های حیاتی، مانند برق و آب آشامیدنی در اسرائیل مورد حمله قرار داده‌​اند.

تازه‌ترین این حملات، که انجام آن توسط هکرهای ایرانی مورد تایید شرکت‌​های معتبر امنیت سایبری نیز قرار گرفته است، حمله باج‌​افزاری روز​های آغازین ماه اکتبر امسال است. در این دوره از حملات، هکرهایی از ایران، با به‌کارگیری باج​‌افزاری به نام «Pay2key» شرکت‌​های متعددی را در اسرائیل و اروپا مورد حمله قرار داده و از برخی از آن‌ها نیز مبالغ کلانی باج‌​گیری اینترنتی کرده‌اند. شرکت آمریکایی-اسرائیلی «چک‌​پوینت» (Checkpoint) که این دوره حملات باج‌​افزاری را رصد کرده است، در گزارشی تشریح کرد که چطور با رهگیری یک مورد از باج​‌های اینترنتی که با استفاده از پول اینترنتی بیت‌​کوین انجام شده، دریافته است که مقصد نهایی باج دریافت‌شده به یکی از کیف‌​​های اینترنتی در وب‌​​سایت «www.excoino.com»، متعلق به «شرکت دانش‌​​بنیان اکسکوینو» رسیده است. این شرکت که از سال ۱۳۹۶ به عنوان یک صرافی مجازی، خدمات خود را برای خرید و فروش ارزهای اینترنتی آغاز کرده، از جمله شرکت‌​هایی است که در سال​‌های اخیر، نقش ویژه​‌ای را در فرایند دور زدن تحریم​‌​های ایالات متحده از طریق تبدیل ارزهای رایج به بیت‌​​کوین ایفا کرده است.

پیش از این حمله باج​‌افزاری نیز، موضوع حمله به سامانه​‌​های برق و آب آشامیدنی در اسرائیل توسط گروه هکری «مادی‌​​واتر» (Muddywater)، از جمله گروه​‌های هکری تحت حمایت حکومت ایران، به شکل گسترده مطرح شده بود.

شرکت اسرائیلی «کلیرسکای» (Clearsky) و شرکت «پروفرو» (Profero) در گزارشی مشترک به تحلیل نحوه حمله گروه مادی‌​​واتر به زیرساخت‌​های اسرائیل پرداخته و جنبه‌​های فنی آن را مورد بررسی قرار داده‌​اند.

 

مطالب مرتبط:

سایه هکرهای ایرانی روی سایت شرکت بیمه اسراییلی

نام ایران در لیست تهدید‌های سایبری علیه کانادا قرار گرفت