تم تسمية البرمجيات الخبيثة المستخدمة في هجوم عام 2016 باسم Industoyer One، وتم تسمية البرمجيات الخبيثة المماثلة ولكن المختلفة المستخدمة في عام 2022 باسم Industroyer Two. وقد نسبت شبكة "عينات الخمس"، وهي تحالف استخباراتي يضم أستراليا وكندا ونيوزيلندا والمملكة المتحدة والولايات المتحدة، كلا الهجومين إلى جهاز المخابرات العسكرية الروسية GRU.
قال كارديناس إن الهجوم الأول يمكن اعتباره مثالاً على الترهيب وإساءة استخدام السلطة دون حرب، بينما يمثل الهجوم الثاني لمحة عن الحرب في العالم الحديث.
قال كارديناس: "إنها مثال على حرب حديثة لأنها تجمع بين الهجمات المادية والهجمات السيبرانية". "إنها ليست حدثًا معزولًا، فهذه الأحداث في العالم السيبراني والعالم المادي تعزز بعضها البعض وتسبب أكبر قدر ممكن من الضرر. بعد قبول ورقتنا، تلقينا أخبارًا عن هجوم آخر استهدف شبكة الكهرباء في أوكرانيا بالتزامن مع هجوم سيبراني وهجوم حركي."
لا تعد الهجمات بالبرمجيات الخبيثة الأمثلة الأولى والوحيدة للهجمات السيبرانية على شبكة كهرباء فحسب، بل هي جزء من عدد قليل من الهجمات المعروفة بالبرمجيات الخبيثة على البنية التحتية المادية بشكل عام.
كان أول مثال لهجوم برمجيات خبيثة على بنية تحتية مادية هو هجوم Stuxnet الذي تم اكتشافه في عام 2010 وتم استخدامه قبل بضع سنوات، بهدف تدمير أجهزة الطرد المركزي في منشأة لتخصيب اليورانيوم في إيران. قبل ذلك، كانت هجمات البرمجيات الخبيثة تستهدف فقط أنظمة الكمبيوتر التقليدية مثل أنظمة تكنولوجيا المعلومات والأنظمة المالية.
أدت هجمات Industroyer إلى انقطاع التيار الكهربائي المحلي لساعات. تتطلب هذه الأنواع من الهجمات من المشغلين إصلاح المشكلة في الموقع وإعادة الاتصال بالأنظمة الرئيسية. إنها أقل كارثية بكثير من انهيار النظام، حيث ينتشر الخطأ عبر النظام "الجماهيري" ويمكن أن يشل شبكة الكهرباء بأكملها في بلد ما.
قال كارديناس: "كانت هذه الهجمات قادرة على التسبب في انقطاع التيار الكهربائي المحلي، لكن حتى الآن لم يحدث انهيار على مستوى النظام. سيكون الهجوم الذي يمكن أن يتسبب في انهيار شبكة الكهرباء أكثر خطورة بكثير، حيث ستكون البلاد بأكملها بدون كهرباء لعدة أيام."
في هذه الحالة، ستتأثر جميع مرافق النظام الصحي، بما في ذلك جميع مجالات الطب المخبري.
كان كلا هجومي إندستروير مؤتمت بالكامل، مما يعني أنه بعد تنفيذهما، لم يعد هناك تدخل بشري، وتم اختراق أجزاء من شبكة الطاقة التي كان ينبغي فصلها عن الإنترنت لمزيد من الأمان. في كلا الهجومين، تم اختراق جهاز كمبيوتر يعمل بنظام ويندوز في محطة فرعية أو غرفة تحكم للتلاعب بحالة قواطع الدائرة في الشبكة.
كان إندستروير ون يتصرف مثل سكين الجيش السويسري، حيث كان قادرًا على مهاجمة الأنظمة القديمة باستخدام خطوط تسلسلية وكذلك الأنظمة الحديثة باستخدام أنظمة اتصالات حديثة. تم تطويره بدون هدف محدد وكان قادرًا على الهجوم مباشرة من محطة فرعية أو من مركز التحكم على بعد مئات الكيلومترات. كان يتوقع ملفات التكوين من النظام نفسه لتوجيه هجومه. ومع ذلك، لم تعني هذه الخصائص أنه كان خاليًا من الأخطاء.
قال كارديناس: "لقد وفرت المرونة للهجوم من أي مكان، لكننا وجدنا أيضًا أنها تحتوي على العديد من الأخطاء". "كان هناك العديد من أخطاء التنفيذ التي لم تكن متوافقة مع البروتوكول. ربما كان موجهًا للغاية، لكننا اختبرناه على أنواع مختلفة من الأجهزة وبسبب الأخطاء، عمل على بعضها ولم يعمل على البعض الآخر."
في المقابل، كان إندستروير تو محددًا للغاية، حيث تم دمج أهدافه في البرمجيات الخبيثة نفسها، مما جعل قراءة ملفات التكوين غير ضرورية. تمكن الباحثون من ملاحظة أنه استهدف ثلاث عناوين IP منسقة مع أجهزة معينة، ربما للتحكم في قواطع الدائرة في محطات فرعية معينة. تم إصلاح الأخطاء الموجودة في إندستروير ون.
قال كارديناس: "ربما كان ذلك لأن لديهم وقتًا لتلميع البرمجيات الخبيثة بمرور الوقت لإصلاح الأخطاء، لكنهم عرفوا أيضًا بشكل أفضل ما يريدون."
https://dx.doi.org/10.1109/SP54263.2024.00162

