حقائق سريعة

• أضافت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) ثغرة في ScadaBR (CVE-2021-26829) إلى قائمة الثغرات المعروفة المستغلة بعد هجوم حديث من ناشطين إلكترونيين.
• الثغرة، وهي خلل في البرمجة يسمح بحقن أكواد خبيثة (XSS)، تم إصلاحها في عام 2021 لكنها لا تزال تُستغل.
• قامت مجموعة TwoNet المؤيدة لروسيا بتشويه نظام التحكم في محطة مياه وهمية، كاشفة عن المخاطر التي تهدد البنية التحتية الحقيقية.
• غالباً ما يستهدف الناشطون الإلكترونيون أنظمة التحكم الصناعية (ICS) لإحداث أكبر قدر من الاضطراب بأقل جهد تقني.
• لم يحدث أي ضرر فعلي في هذا الحادث، لكن سهولة الاستغلال تمثل تحذيراً لمشغلي البنية التحتية الحيوية.

الرسم الرقمي على جدار غرفة التحكم

تخيل غرفة تحكم تراقب تدفق المياه إلى مدينتك - عدادات، شاشات، وهمهمة صامتة للأتمتة. الآن تخيل رسالة تظهر: "تم الاختراق بواسطة بارلاتي". لم يكن هذا سيناريو من هوليوود، بل توقيع تركته مجموعة ناشطين إلكترونيين مؤيدة لروسيا تُدعى TwoNet بعد استغلالهم لثغرة في ScadaBR، وهو نظام مفتوح المصدر شائع لواجهات التحكم.

يُستخدم ScadaBR غالباً مع OpenPLC لتشغيل الآلات الصناعية، ويعمل كلوحة تحكم للعديد من المصانع ومحطات المياه. إنه أشبه بقمرة قيادة الطائرة - إذا تمكن أحدهم من العبث بالتحكمات، فقد تكون العواقب وخيمة. الثغرة، CVE-2021-26829، هي خلل يسمح بحقن أكواد خبيثة (XSS)، أي أن المخترق يمكنه إدخال كود ضار إلى النظام بمجرد ملء حقل في نموذج - وكأنك تكتب ملاحظة لاصقة ويتم قراءتها عبر مكبر الصوت في كل مرة يدخل فيها أحدهم الغرفة.

مصيدة العسل والناشط الإلكتروني

في هذه الحالة، كان "الضحية" عبارة عن مصيدة عسل - نظام وهمي أنشأه باحثو الأمن في Forescout ليحاكي محطة معالجة مياه حقيقية. كان هجوم TwoNet بسيطاً: قاموا بتغيير وصف صفحة الدخول ليظهر توقيعهم الرقمي كلما زارها أحد. وبينما كان هذا مجرد مزحة غير ضارة في بيئة وهمية، فقد كشف عن مدى سهولة تشويه الأنظمة الحقيقية أو حتى التلاعب بها.

هذا الحادث جزء من اتجاه أوسع. الناشطون الإلكترونيون - وأحياناً نيابة عن دول - يستهدفون أنظمة التحكم الصناعية لأن التأثير قد يكون هائلاً والدفاعات غالباً ضعيفة. في عام 2021، استُغلت ثغرات مماثلة في هجمات على مرافق المياه في فلوريدا وإسرائيل، حيث حاول المخترقون تغيير مستويات المواد الكيميائية أو تعطيل العمليات. معظم هذه الهجمات تعتمد على ثغرات بسيطة: برامج قديمة، كلمات مرور افتراضية، أو كما هنا، أخطاء تم إصلاحها لكن لم يتم تثبيت التحديثات في الأنظمة الفعلية.

ما وراء الواضح: مخاطر حقيقية وفاعلون خفيون

بينما تصدرت تصرفات TwoNet العناوين، يكمن الخوف الحقيقي في ما لا يُرى. يحذر الخبراء من أن مهاجمين أكثر تطوراً يمكنهم استغلال نفس الثغرة لأغراض أكثر خفية، مثل اختطاف الجلسات للوصول الأعمق أو تخريب العمليات بهدوء. وعلى عكس الناشطين الإلكترونيين الصاخبين، فإن هؤلاء الفاعلين يتركون أثراً ضئيلاً وغالباً لا يُكتشفون، أو أن الضحايا يخفون الهجمات لتجنب الذعر أو الضرر بالسمعة.

أطلقت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) الآن تحذيراً، داعية جميع المشغلين إلى إصلاح ثغرة ScadaBR بحلول 19 ديسمبر. الرسالة واضحة: في عالم أنظمة التحكم الصناعية، حتى الثغرات "متوسطة الخطورة" يمكن أن تفتح الباب للفوضى إذا تُركت دون معالجة.

ويكيكروك

• ScadaBR: برنامج مفتوح المصدر لإنشاء لوحات التحكم (HMI) التي تساعد المشغلين على مراقبة وإدارة المعدات والعمليات الصناعية.
• OpenPLC: وحدة تحكم منطقية قابلة للبرمجة منخفضة التكلفة ومفتوحة المصدر تُستخدم لأتمتة المهام في المصانع والمنشآت والبيئات التعليمية.
• Cross: هجوم البرمجة عبر المواقع (XSS) هو هجوم إلكتروني يقوم فيه المخترقون بحقن أكواد خبيثة في المواقع لسرقة بيانات المستخدمين أو اختطاف الجلسات.
• مصيدة العسل: نظام وهمي يُنشأ لجذب المهاجمين الإلكترونيين، مما يمكّن المؤسسات من دراسة أساليب الهجوم دون تعريض الأصول الحقيقية للخطر.
• ICS/OT (أنظمة التحكم الصناعية/تكنولوجيا العمليات): أنظمة تراقب وتتحكم في العمليات الفيزيائية في صناعات مثل الطاقة والمياه والتصنيع، لضمان التشغيل الآمن والفعال.