روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ هکرهای لهستانی از شرکتی به نام Dragon Sector اواخر 2023 در هفتمین کنگره ارتباطات آشوب توضیح دادند چطور توانستند به طور اخلاقمندی DRM (مدیریت حقوق دیجیتال) قطارها را هک کنند و از همه مهمتر دلیل این کار را ارائه دادند. با ما همراه شوید.
چرا هکرهای لهستانی قطارها را هک کردند؟
حدود 5 سال پیش، اپراتور ریلیِ Koleje Dolnośląskie لهستان 11 قطار Impuls 45WE از یک تولیدکننده داخلی به نام Newag خرید. زمان زود گذشت و درست بعد از 5 سال استفاده سنگین موقعش رسیده بود که سرویس کمی تعمیر و نگهداری شود: پروسهی پیچیده و هزینهبری که قطار بعد از طی کردن یک میلیون کیلومتر باید طی کند. به منظور انتخاب ورکشاپی برای سرویس کردن قطارها، KD مناقصهای ترتیب داد. Newag یکی از پیشنهاد دهندگان بود اما با اختلاف کمیب ه Serwis Pojazdów Szynowych باخت. با این حال وقتی SPS کارش با تعمیر و نگهداری اولین قطارها تمام شد پی برد دیگر راهاندازی نمیشوند- گرچه به نظر میرسید قطارها هم به لحاظ مکانیکی و هم برقی درست هستند. هر نوع ابزار تشخیصی که فکر کنید استفاده شد اما همهشان نشان دادند هیچ نقصی در قطارها وجود ندارد؛ این را همه مکانیکها و برقکاران هم تأیید کردند. با همه اینها: قطارها دیگر کار نمیکردند. کمی بعد سری قطارهای جیدی توسط SPS سرویس شدند و یکیشان حتی به فروشگاه دیگری هم برده شد که البته به وضعیت مشابه رسید. اینجا بود که SPS بعد از تلاش مکرر برای حل این معما تصمیم گرفت تیم هکری خود را (کلاه سفیدها) بسیج کند.
ایمپلنتهای مخرب تولیدکننده و بکدرهایی در سفتافزار قطار
محققین چندین ماه وقت صرف مهندسی معکوس، تحلیل و مقایسه سفتافزار قطارهایی کردند که هم در حال کار کردن بودند و هم آنهایی که نیمکت ذخیره گذاشته شده بودند. در نتیجه آنها متوجه شدند چطور قطارهای از کارافتاده را سرپا کنند و همزمان تعدادی مکانیزم جالب هم که در کد توسط توسعهدهندگان نرمافزار Newag جاساز شده بود کشف کردند. برای مثال آنها متوجه شدند یکی از سیستمهای کامپیوتری قطار در خود کدی داشته که مختصات جیپیاس را چک میکرده. اگر قطار بیش از 10 روز را در یکی از محدودههای مشخص میگذرانده دیگر کار نمیکرده. اما آن محدودهها کدام بودند؟ مختصات مربوط به چندین فروشگاه طرفسوم بوده است. ورکشاپهای خود Newag هم این کد را داشتند اما قفل قطار در آنها هدف قرار نگرفته بود؛ این یعنی آنها ممکن بوده برای تست استفاده شده باشند.
مکانیزم دیگر در کد بود که بعد از تشخیص تغییر شماره سریال یکی از قطعات، قطار را متوقف میکرد (که نشان میدهد این قطعه جایگزین شده بوده). برای حرکت دادن قطار ترکیب از پیش تعریفشده کلیدها روی کامپیوتر آنبورد در کابین راننده باید فشار داده میشد. تله انفجاری جالب دیگر در یکی از سیستمهای قطار کشف شد که اگر روز جاری ماه 21 به بعد بود، ماه 11 به بعد بود و یا سال 2021 به بعد بود، خطای کمپرسور را گزارش میداد. معلوم شد که نوامبر 2021، تاریخ تعمیر و نگهداری برنامهریزی شده برای آن قطار خاص بوده است. جلوی تله به طور معجزه آسایی گرفته شد چون قطار زودتر از زمان برنامهریزی شده برای تعمیر و نگهداری حرکت کرد و تنها در ژانویه 2022، ماه اول، که آشکارا قبل از 11 است، برای سرویس بازگشت.
مثال دیگر: یکی از قطارها حاوی دستگاهی با علامت UDP<->CAN Converter بود که به یک مودم GSM برای دریافت اطلاعات وضعیت قفل از رایانه داخلی متصل بود. مکانیسمی که اغلب یافت میشود - و در اینجا باید توجه داشته باشیم که هر قطار دارای مجموعه مکانیزمهای متفاوتی بود - برای قفل کردن قطار در صورت توقف چند روز معین طراحی شده بود که به معنای تعمیر و نگهداری قطار در حال خدمت است. در مجموع، دراگون سکتور 30 قطار Impuls را که توسط KD و سایر شرکتهای حملونقل ریلی اداره میشد، بررسی کرد. 24 عدد از آنها حاوی نوعی ایمپلنتهای مخرب بودند.
چطور از سیستمهای خود در برابر ایمپلنتهای مخرب محافظت کنیم؟
اینها همه نشان میدهند که شما میتوانید در غیرمنتظرهترین مکانها و در هر نوع سیستم آی تی با ایمپلنتهای مخرب روبرو شوید. پس فرقی ندارد روی چه پروژهای کار میکنید، به هرحال اگر هر گونه کد طرفسوم در آن باشد –چه برسد به اینکه کل سیستم مبتنی بر آن باشد- عقلانی است که دست کم یک ممیزی امنیت اطلاعات رویش اجرا شود.
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
