ظلّ فوق الشبكة: قراصنة إيرانيون يستهدفون أكثر من 5,000 متحكّم صناعي أمريكي

بعيد شروق شمس 7 أبريل بقليل، أطلقت مجموعة نادرة من وكالات الاستخبارات والدفاع السيبراني الأمريكية إنذارًا: قراصنة مرتبطون بالدولة الإيرانية يستهدفون بنشاط العقول الرقمية لعمليات المياه والطاقة والجهات الحكومية في أمريكا. فريستهم؟ أكثر من 5,000 متحكّم صناعي من Rockwell Automation - وحدات PLC - مفتوحة على مصراعيها على الإنترنت العام، بعضها يعمل ببرمجيات قديمة، وكثير منها يقع في قلب الخدمات الحيوية النابض. التحذير صارخ: هذا ليس تمرينًا، بل حملة إطلاق نار حيّ ضد الأنظمة التي تُبقي الأضواء مضاءة والمياه جارية.

وفقًا لـ Censys، وهي شركة بارزة لمسح الإنترنت، فإن الحصة الأكبر من هذه المتحكّمات المكشوفة - أكثر من 74% - تقع في الولايات المتحدة، ما يعكس الجذور العميقة لروكويل في الصناعة بأمريكا الشمالية. أما البقية فتتوزع عبر أوروبا وآسيا، مع تجمعات ملحوظة في إسبانيا وتايوان وحتى آيسلندا، حيث تُعد الأتمتة الصناعية حيوية للطاقة الحرارية الجوفية. الأكثر إثارة للقلق: أن غالبية هذه وحدات PLC ليست محمية خلف جدران نارية مؤسسية. بدلًا من ذلك، هي في العراء، متصلة عبر مودمات خلوية - غالبًا في محطات ضخ نائية أو مرافق بلدية - ما يجعلها أهدافًا سهلة للمهاجمين الذين يمتلكون الأدوات المناسبة.

المجموعات المرتبطة بإيران، بما في ذلك CyberAv3ngers سيئة الصيت، لا تهدر وقتها على استغلالات معقدة. بدلًا من ذلك، تستفيد من برمجيات روكويل القياسية مثل Studio 5000 Logix Designer للوصول إلى وحدات PLC، وتعديل ملفات المشاريع، وحتى التلاعب ببيانات العرض على لوحات المشغّلين. ومن دون الحاجة إلى ثغرات يوم-صفر، يدخل المهاجمون ببساطة من الباب الرقمي الأمامي، بفضل مصادقة ضعيفة أو غائبة وإدارة أجهزة مهملة.

الأجهزة المكشوفة هي في الغالب طرازات أقدم من MicroLogix 1400 وCompactLogix، وكثير منها يعمل ببرامج ثابتة قديمة لم تعد مدعومة. هذه التقنية الموروثة تشكّل نقطة رخوة - يمكن للخصوم مسحها وبصمتها وتحديد أولوياتها للهجوم. وما يزيد الأمر سوءًا أن العديد من وحدات PLC المواجهة للإنترنت تكشف أيضًا خدمات خطرة أخرى مثل VNC وTelnet وModbus، ما يوسّع سطح الهجوم ويمنح القراصنة عدة طرق للدخول.

تتبّعت التحقيقات جزءًا كبيرًا من بنية تشغيل الحملة إلى محطة عمل هندسية واحدة في مركز بيانات أوروبي، استُخدمت كمحور تحكّم للحملة. وفي الوقت نفسه، يبدو أن بعض الهجمات تُطلق من خوادم “تهيئة” قصيرة العمر، تُنشأ لفترة تكفي لاختراق الأهداف قبل أن تختفي.

تتفق الوكالات الفيدرالية وخبراء الأمن على نصيحة واحدة: افصلوا هذه وحدات PLC عن الإنترنت العام فورًا، ومرّروا أي وصول عن بُعد عبر بوابات آمنة، وأحكموا إغلاق أي خدمات إضافية مكشوفة. في الوقت الراهن، التهديد حقيقي ومستمر - جرس إنذار لأي منظمة تعتمد على الأتمتة الصناعية، يذكّرنا بأن العالمين الرقمي والمادي أكثر تشابكًا - وأكثر هشاشة - من أي وقت مضى.

WIKICROOK

• PLC (المتحكّم المنطقي القابل للبرمجة): وحدة PLC هي حاسوب متين يقوم بأتمتة والتحكم في الآلات والعمليات الصناعية في المصانع والمنشآت وغيرها من البيئات الصناعية.
• APT (تهديد متقدم مستمر): التهديد المتقدم المستمر (APT) هو هجوم سيبراني طويل الأمد وموجّه تنفذه مجموعات ماهرة، غالبًا بدعم دول، بهدف سرقة البيانات أو تعطيل العمليات.
• HMI/SCADA: واجهة الإنسان-الآلة وأنظمة التحكم الإشرافي وتجميع البيانات، وهي أنظمة لمراقبة العمليات الصناعية والتحكم بها.
• EtherNet/IP: EtherNet/IP هو بروتوكول صناعي يربط أجهزة الأتمتة ويديرها عبر شبكات إيثرنت، ما يتيح اتصالًا في الزمن الحقيقي ضمن بيئات التصنيع.
• Firmware (البرامج الثابتة): البرامج الثابتة هي برمجيات متخصصة مخزّنة داخل الأجهزة، تدير عملياتها الأساسية وأمنها وتمكّنها من العمل بشكل صحيح.