روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ هکرهای لهستانی از شرکتی به نام Dragon Sector اواخر 2023 در هفتمین کنگره ارتباطات آشوب توضیح دادند چطور توانستند به طور اخلاقمندی DRM (مدیریت حقوق دیجیتال) قطارها را هک کنند و از همه مهمتر دلیل این کار را ارائه دادند. با ما همراه شوید.

چرا هکرهای لهستانی قطارها را هک کردند؟

حدود 5 سال پیش، اپراتور ریلیِ Koleje Dolnośląskie لهستان 11 قطار Impuls 45WE از یک تولیدکننده داخلی به نام Newag خرید. زمان زود گذشت و درست بعد از 5 سال استفاده سنگین موقعش رسیده بود که سرویس کمی تعمیر و نگهداری شود: پروسه‌ی پیچیده و هزینه‌بری که قطار بعد از طی کردن یک میلیون کیلومتر باید طی کند. به منظور انتخاب ورکشاپی برای سرویس کردن قطارها، KD مناقصه‌ای ترتیب داد. Newag یکی از پیشنهاد دهندگان بود اما با اختلاف کمیب ه Serwis Pojazdów Szynowych باخت. با این حال وقتی SPS کارش با تعمیر و نگهداری اولین قطارها تمام شد پی برد دیگر راه‌اندازی نمی‌شوند- گرچه به نظر می‌رسید قطارها هم به لحاظ مکانیکی و هم برقی درست هستند. هر نوع ابزار تشخیصی که فکر کنید استفاده شد اما همه‌شان نشان دادند هیچ نقصی در قطارها وجود ندارد؛ این را همه مکانیک‌ها و برق‌کاران هم تأیید کردند. با همه اینها: قطارها دیگر کار نمی‌کردند. کمی بعد سری قطارهای جیدی توسط SPS سرویس شدند و یکی‌شان حتی به فروشگاه دیگری هم برده شد که البته به وضعیت مشابه رسید. اینجا بود که SPS بعد از تلاش مکرر برای حل این معما تصمیم گرفت تیم هکری خود را (کلاه سفیدها) بسیج کند.

ایمپلنت‌های مخرب تولیدکننده و بک‌درهایی در سفت‌افزار قطار

محققین چندین ماه وقت صرف مهندسی معکوس، تحلیل و مقایسه سفت‌افزار قطارهایی کردند که هم در حال کار کردن بودند و هم آن‌هایی که نیمکت ذخیره گذاشته شده بودند. در نتیجه آن‌ها متوجه شدند چطور قطارهای از کارافتاده را سرپا کنند و همزمان تعدادی مکانیزم جالب هم که در کد توسط توسعه‌دهندگان نرم‌افزار Newag جاساز شده بود کشف کردند. برای مثال آن‌ها متوجه شدند یکی از سیستم‌های کامپیوتری قطار در خود کدی داشته که مختصات جی‌پی‌اس را چک می‌کرده. اگر قطار بیش از 10 روز را در یکی از محدوده‌های مشخص می‌گذرانده دیگر کار نمی‌کرده. اما آن محدوده‌ها کدام بودند؟ مختصات مربوط به چندین فروشگاه‌ طرف‌سوم بوده است. ورکشاپ‌های خود Newag هم این کد را داشتند اما قفل قطار در آن‌ها هدف قرار نگرفته بود؛ این یعنی آن‌ها ممکن بوده برای تست استفاده شده باشند.

مکانیزم دیگر در کد بود که بعد از تشخیص تغییر شماره سریال یکی از قطعات، قطار را متوقف می‌کرد (که نشان می‌دهد این قطعه جایگزین شده بوده). برای حرکت دادن قطار ترکیب از پیش تعریف‌شده کلیدها روی کامپیوتر آنبورد در کابین راننده باید فشار داده می‌شد. تله انفجاری جالب دیگر در یکی از سیستم‌های قطار کشف شد که اگر روز جاری ماه 21 به بعد بود، ماه 11 به بعد بود و یا سال 2021 به بعد بود، خطای کمپرسور را گزارش می‌داد.  معلوم شد که نوامبر 2021، تاریخ تعمیر و نگهداری برنامه‌ریزی شده برای آن قطار خاص بوده است. جلوی تله به طور معجزه آسایی گرفته شد چون قطار زودتر از زمان برنامه‌ریزی شده برای تعمیر و نگهداری حرکت کرد و تنها در ژانویه 2022، ماه اول، که آشکارا قبل از 11 است، برای سرویس بازگشت.

مثال دیگر: یکی از قطارها حاوی دستگاهی با علامت  UDP<->CAN Converter بود که به یک مودم GSM برای دریافت اطلاعات وضعیت قفل از رایانه داخلی متصل بود. مکانیسمی که اغلب یافت می‌شود - و در اینجا باید توجه داشته باشیم که هر قطار دارای مجموعه مکانیزم‌های متفاوتی بود - برای قفل کردن قطار در صورت توقف چند روز معین طراحی شده بود که به معنای تعمیر و نگهداری قطار در حال خدمت است. در مجموع، دراگون سکتور 30 قطار Impuls را که توسط KD و سایر شرکت‌های حمل‌ونقل ریلی اداره می‌شد، بررسی کرد. 24 عدد از آنها حاوی نوعی ایمپلنت‌های مخرب بودند.

چطور از سیستم‌های خود در برابر ایمپلنت‌های مخرب محافظت کنیم؟

اینها همه نشان می‌دهند که شما می‌توانید در غیرمنتظره‌ترین مکان‌ها و در هر نوع سیستم آی تی با ایمپلنت‌های مخرب روبرو شوید. پس فرقی ندارد روی چه پروژه‌ای کار می‌کنید، به هرحال اگر هر گونه کد طرف‌سوم در آن باشد –چه برسد به اینکه کل سیستم مبتنی بر آن باشد- عقلانی است که دست کم یک ممیزی امنیت اطلاعات رویش اجرا شود.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.