Pukhraj Singh متخصص امنیت سایبری در توییتی اظهار داشت که یک بدافزار به نیروگاه هسته‌ای Kudankulam (KNPP) در سطح دامین کنترلر دسترسی پیدا کرده است و اهداف بسیار حساسی را مورد حمله قرار داده است.

یک شخص ثالث این موضوع را به Singh اطلاع داد و سپس Singh در 4 سپتامبر آن را به مرکز هماهنگی امنیت سایبری ملی خبر داد. ابتدا مقامات شرکت نیروی هسته‌ای (NPCI) خبر را تکذیب کردند و بیان کردند که نیروگاه ایزوله است و به شبکه خارجی و اینترنت متصل نیست و بنابراین امکان هیچ‌گونه حمله سایبری به سیستم کنترل نیروگاه وجود ندارد.

اما در 30 اکتبر، این مقامات از موضع خود عقب‌نشینی کردند و تائید کردند که بدافزار روی سامانه‌های آن‌ها کشف شده است و مرکز سرت (CERT) اولین بار در 4 سپتامبر متوجه حمله شده است. آن‌ها همچنین اظهار داشتند که کامپیوتر آلوده شده، به شبکه مدیریتی متصل بوده که «از شبکه حیاتی داخلی مجزا است» «همچنین بررسی‌ها نشان می‌دهد که سامانه‌های نیروگاهی تحت تأثیر قرار نگرفته‌اند».

یک حمله هدفمند

طبق گفته متخصصان شرکت سایبربیت بر خلاف برخی گزارش‌های اولیه به نظر می‌رسد بدافزار به طور خاص برای تأسیسات هسته‌ای KNPP طراحی شده است. با مهندسی معکوس نمونه‌های بدافزار مشخص شد که این بدافزار از نام کاربری /user:KKNPP\administrator و گذرواژه su.controller5kk برای ورود به حساب‌های کاربری استفاده می‌کند. همچنین آدرس‌های آی‌پی 172.22.22.156، 10.2.114.1، 172.22.22.5، 10.2.4.1، 10.38.1.35 نیز در کد، ذخیره شده بودند که آی‌پی‌های محلی هستند.

بنابراین به احتمال زیاد مهاجم قبلاً به شبکه نفوذ کرده، تجهیزات را اسکن کرده و مشخصات کاربر ادمین را به سرقت برده است. سپس این اطلاعات را در بدافزار مذکور جاسازی کرده و آن را به عنوان فاز دوم حمله مورد استفاده قرار داده است. البته این بدافزار بر خلاف استاکس‌نت دارای قابلیت تخریبی نبوده و در این مرحله از حمله تنها جمع‌آوری اطلاعات صورت می‌گرفته است.

بدافزار چگونه به داخل شبکه نفوذ کرده بود؟

بدافزار درون فایل برنامه‌های سالمی مثل 7Zip یا VNC جاسازی شده بود. این ترفند معمولاً می‌تواند ضدویروس‌ها را دور بزند. اما اگر کاربران امضای دیجیتال برنامه‌ها را وارسی می‌کردند متوجه وجود مشکل در آن‌ها می‌شدند. تشخیص این نوع حملات به روش غیرفعال بسیار دشوار است. تشخیص مؤثر این نوع حملات ممکن است منجر به مثبت‌های کاذب بسیاری شود که بررسی آن‌ها نیازمند متخصصان حرفه‌ای است. تیم‌های امنیتی زیرساخت‌های حیاتی باید به طور مستمر شبکه را پایش کنند تا متوجه فعالیت‌های مشکوک شده و تهدیدات را قبل از خطرساز شدن خنثی کنند.