بعض الأخبار عندما تُروى مُختزلة، تخفي الكثير من التحديات والتعقيدات بها، اختراق شبكة كهرباء اوكرانيا احد هذه الاخبار.
أوكرانيا بها ٢٤ شركة كهرباء بعد ان تم تقسيم الشركة الوحيدة في سنة ٢٠١٤. والاختراق استهدف ثلاث شركات في نهاية شهر ديسمبر ٢٠١٥
بدأ الاختراق من خلال ايميل مرفق به ملف Word به ماكرو والذي فعله من استقبل الايميل وكانت من هذا الايميل اول اصابة بفايروس BlackEnergy على الشركات الثلاث.
استخدم فايروس BlackEnergy في التواصل مع المخترقين والتحكم بالأجهزة المخترقة واستكشاف الشبكة وتفاصيلها على مدى عدة أشهر للتمهيد للاختراق وانجاز المهمة.
وجد المخترقون أن جميع الشركات كانت قد عزلت شبكة الكهرباء عن شبكة الشركة، و كان بها عدة مستويات من الحماية. ومع ذلك وجد المخترقون طريقهم للشبكة الكهرباء.
كان من الخيارات التي لديهم، هو اختراق الجدران النارية التي تعزل شبكة أنظمة الكهرباء عن شبكة الشركة، ولكن هذا كان يتطلب ثغرات لم تكون موجودة في ذلك الوقت.
في مرحلة الاعداد للاختراق، سيطر المخترقون على نظام الـ Domain Controller. السيطرة على هذا النظام لمن لا يعرفه يعني ان المخترق يستطيع الدخول باسم اي مستخدم في الشبكة. لأنه هو الذي يُدير الهويات بكامل الشبكة.
عندما تكون الشبكة الصناعية معزولة بجدار ناري، فهذا يعني ان بعض المستخدمين لهم صلاحية على الدخول من شبكة الشركة الى الشبكة الصناعية (شبكة انظمة الكهرباء)
لذلك، اختار المخترقون هذا الطريق وسيطروا على صلاحيات الدخول للمستخدمين الذين لديهم صلاحية التحكم بالشبكة، وأصبح بإمكانهم في هذه المرحلة ايقاف الكهرباء عن المناطق التي تخدمها الشركة.
فهل تتوقع ان المخترقين فعلوا ذلك؟!
مع انهم سيطروا على شبكة الكهرباء الا انهم لم يطفئو الكهرباء ولم يغيروا أي شيئ. فهم ليسوا هواة بل لديهم مهمة يُريدون اتمامها.
مع انهم سيطروا على شبكة الكهرباء الا انهم لم يطفئو الكهرباء ولم يغيروا أي شيئ. فهم ليسوا هواة بل لديهم مهمة يُريدون اتمامها.
بعد ان سيطروا على الشبكات الثلاث بنفس الطريقة بدئوا يدرسون كيف تعمل الشركات معاً وطريقة توزيع الكهرباء وماهي الخطوات وترتيبها التي يجب ان يفعلوها ليحققوا أكبر ضرر بالدولة!
كانت خطة الهجوم مبنية على خمسة هجمات مختلفة في نفس الوقت، الأولى: مبنية على الدخول على نظام التحكم بشكل مباشر من خلال الهويات المسروقة والتحكم بتدفق الكهرباء وايقافه بطريقة مدروسة.
هذه الهجمة استخدمت فيها هويات مسروقة ودخول مباشر من الاجهزة المخترقة ولم يتسخدم بها برامج تجسس وغيره. وقد تم تصوير المخترقين وهم يتحكمون بالجهاز في هذا المقطع:
youtu.be
youtu.be
الهجمة الثانية: كانت تستهدف أنظمة UPS وهي انظمة الطاقة الاحتياطية والتي المفترض ان تعمل عن انقطاع الكهرباء عن الشركة. قام المخترقون بتعطيلها حتى تغرق الشركة نفسها في الظلام وقت الهجمة ولا تعمل انظمتها!
الهجمة الثالثة استهدفت اجهزة صغيرة من نوع
serial to ethernet converter
وهذه الاجهزة تعتبر هي الجسر بين شبكات الكمبيوتر والاجهزة الصناعية واجهزة التحكم.
serial to ethernet converter
وهذه الاجهزة تعتبر هي الجسر بين شبكات الكمبيوتر والاجهزة الصناعية واجهزة التحكم.
السبب في استهدافهم لهذه الأجهزة، لأن المخترقون يعرفون ان مشغلي الشبكة يستطيعون تغيير كلمات السر بسرعة واعادة تفعيل الكهرباء، لذلك هم فصلوا نظام التحكم المركزي عن المحطات الطرفية بهذه الهجمة.
وأصبح على الشركة لتعيد الكهرباء ان تمر على المحطات الفرعية محطة محطة واعادة التيار والاعدادات وربما تغيير اجهزة Serial to Ethernet لإعادة التيار!
الهجمة الرابعة كانت تستهدف الناس الذي انقطع عنهم الكهرباء وعزلهم عن معرفة ما يحصل. واستخدم المخترقون هجمة حرمان خدمة اتصال العملاء، ومنعوا العملاء من الوصول للشركة!
الهجمة الخامسة كانت تدمير الاجهزة ومسح جميع الملفات من خلال مسح MBR من الهارديسكات
كانت نتيجة هذا الاختراق، غرق مئات آلاف المنازل لمدة ستة ساعات واستغرقت من الشركة سنة كاملة لاستعادة التشغيل بالشكل الطبيعي.
جاري تحميل الاقتراحات...