دیروز اتفاقی افتاد که خواب را از چشمان زیادی گرفت، البته برای ما این دست اتفاقها زیاد ناشناخته نیست، در سالهای اخیر (بخوانید ماههای اخیر) تکرارهای زیادی داشته است. هک و درز اطلاعات، حمله سایبری به سامانههای مختلف، از اپراتورهای همراه تا سامانههای حملونقل مثل رجا و حتی تجاری مثل بندرگاهها و گمرکها، تنها در نمونه رجا بود که مردم با جابجا شدن و کنسل شدن برنامههای حرکت ابعاد مختلف این دست حملات را زندگی روزمره خود حس کردند و این بار با ازکارافتادن پایانههای سوخترسانی افراد بیشتری درگیر تبعات آن شدند. آنطور که در شبکههای اجتماعی دیدم گمانهزنیهای زیادی در خصوص هک فریمور وجود دارد که بهشخصه آنها را وارد نمیدانم که البته در ادامه به بررسی دلایل آن میپردازیم و به بررسی روش احتمالی نفوذ میپردازیم، البته لازم است که هنوز ابعاد دقیق حمله هنوز مشخص نشده است و ما در این مقاله صرفاً گمانهزنی میکنیم، در هر حال سختافزار حوزه تخصصی ما است.
حمله سایبری و از کار افتان جایگاههای پمپبنزین
بگذارید اول از جایگاههای پمپبنزین شروع کنیم که ابعاد گستردهتری داشت، دوستانی در فضای مجازی معتقد بودند و احتمالاً هستند که فریمور سختافزار نصبشده بر روی پمپبنزین هک شده، به نظر من این گمانهزنی مقداری دور از واقعیت است به دلایل زیادی که در ادامه به توضیح آن خواهیم پرداخت. برای اینکه بهتر بتوانیم ابعاد مختلف را بررسی کنیم نیاز است که دید کلی از نحوه عملکرد سیستم کارت سوخت داشته باشیم.
با صحبتهایی که با یکی از دوستان فعال در این حوزه داشتیم متوجه شدیم که درواقع در پمپ سوخت دو سیستم کنترلی وجود دارد، یک سیستم (از این به بعد آن را مستر میخوانیم) که کارتخوان و نمایشگر به آن متصل است و با ارتباط شبکه لوکال به سیستم (بخوانید کامپیوتر) تعبیهشده در جایگاه سوخت متصل است و آن کامپیوتر از طریق شبکه خصوصی (نه اینترنت ملی نه اینترنت) به سرور اصلی متصل شده است.
برد دیگری در پمپ سوخت بردی است که به یک ارتباط با مستر دارد و کارهای کنترلی پمپ را مدیریت میکند کارهایی مثل این که آیا نازل در سر جای خود قرار گرفته است یا نه شمارش سوخت استفاده شده …
پس در انتها برد کنترلی با برد مستر در ارتباط است و مستر با کامپیوتر جایگاه و کامپیوتر جایگاه با سرور مرکزی، البته اگر این وسط کنترلر دیگری وجود داشته باشد ما از آن اطلاعی نداریم. می دانیم که برد کنترلری توسط میکروکنترلر راه اندازی شده است و توسط پیمانکارهای مختلف تأمین شده است اما برد مستر تنها توسط یک شرکت خاص که مجوزهای لازم را داشته است تولید شده است.
چرا پمپهای بنزین حالت دستی نداشتند؟
برد کنترلی که عملاً مدیریت اعمال پمپ را انجام میدهد احتمالاً برای جلوگیری از تقلبهای احتمالی به نحوی طراحیشده است (یعنی الزام به طراحی وجود داشته است) که تنها در حالتی کار کند که دستورهای کنترلی را از برد مَستر دریافت کند!
با ازکارافتادن برد مستر و عدم ارسال دستور لازم، عملاً پمپ غیرفعال و غیرقابل استفاده میشود! البته بعد از گذشت ساعتها، تعدادی از پمپها در مدار قرار گرفتند که احتمالاً به شکل آفلاین بوده است به دلیل نرخ سوخت آزاد نه سهمیهای.
همچنین بخوانید
آیا فریمور پمپبنزین هک شده بود؟
بهشخصه این احتمال را کم میدانم (ولی هر احتمالی مطرح است و نباید کنار گذاشته شود)، اطلاعات زیادی در خصوص برد مستر در دسترس نیست و نحوه عملکرد آن به درستی روشن نیست، به عنوان نمونه آیا اگر ارتباط آن با سرور اصلی قطع شود امکان ارائه خدمات به شکل آفلاین را دارد یا نه! آیا مبتنی بر میکروکنترلر است یا SOC ها (اگر شما اطلاعاتی در این خصوص دارید خوشحال میشویم آن را با ما به اشتراک بگذارید)،
اما با توجه به این که برد بعد از این که از کار افتاده است در حال نمایش متن پیامی است! به تنهایی نشان میدهد که پردازنده آن در حال کار است یا در بدبینانهترین حالت ممکن باید فرض کرد که در حال کار بوده است.
تنها در حالتی ممکن است که فریمور دستگاه آن هم به آن وسعت (سراسر کشور) هک شود که قابلیت OTA (over-the-air update) وجود داشته باشد، اغلب طراحی که OTA را طراحی میکنید فایل فریمور را رمزگذاری میکنید تا قابل شنود و سوء استفاده در صورت درز آن نباشد. برای این که کسی بتوانید یک سیستم را از راه دور آپدیت کند نیاز دارد اول دستورات و فرمت آپدیت را بداند، فارغ از آن باید نوع پردازنده و اتصالات به دیوایس های جانبی مثل LCD را بداند و البته نوع کنترلر lcd را نیز بداند تا بتواند در یک آپدیت چنین پیامی را بر روی نمایشگر دستگاه نمایش دهد.
پیام سیستم دستکاری شده در جایگاه سوخت
دانستن همه این جزییات حتی جزییات سختافزاری کار بسیار پیچیدهای است و مقداری دور از ذهن، چیز دیگری که جلبتوجه میکند فونت نمایش دادهشده بر روی نمایشگر است که ظاهراً با فونت استفادهشده در فریمور اصلی دستگاه همخوانی دارد، چهار احتمال را برجستهتر از دیگر احتمالها میکند،
۱. هکرها به سورس فریمور اصلی دسترسی داشتهاند و از آن استفاده کردهاند
۲. سرور اصلی هک شده و این پیام برای همه پمپها ارسالشده است.
۳. سرور اصلی هک شده و پیام برای همه ارسالشده و بعد دستگاه را از کار انداختهاند
۴. کامپیوتر موجود در جایگاه هک شده و نرمافزار آن تغییر دادهشده باشد!
تجربه حمله سایبری مشابه در ارتباط با سرور
گزینه یک که دیگه حرفی را برای گفتن نمیگذارد. اما حالت دوم سادهتر است، تجربه مشابهی را در طراحی دستگاهی داشتم که برای یک نهاد دولتی بود و قرار بود پیام متنی را بر روی نمایشگری به کاربر نمایش دهد.
با توجه به اینکه ممکن بود نوع پیام و متن آن در آینده تغییر کند متن پیام از سرور به دستگاه ارسال میشد و دستگاه با فونت امبد شده خودش آن پیام را نمایش میداد، حالا فرض کنید سرور اصلی هک شده باشد و برای همه دستگاههای متصل این پیام ارسالشده باشد و بعد به نحوی سرور از سرویس خارجشده باشد! البته با توجه به این که هنوز سیستم به روال عادی برنگشته است نشان میدهد که حمله یک سرور را هدف قرار نداده است که اگر اینطور بود در ساعت ابتدایی با رفع مشکل سرور اصلی باقی دستگاهها در سرویس قرار میگرفتند.
دست کاری سرور هر جایگاه
میدانیم که پمپها همه به یک کامپیوتر در خود جایگاه متصل هستند حالا اگر نرمافزار این سرورها قابلیت بهروزرسانی داشته باشند (که احتمالاً دارند) خیلی سادهتر است که نرمافزار موجود در این سرورها تغییر کرده باشد یا هک شده باشد در این صورت همه سیستم از کار خواهد افتاد و نمیتوان از راه دور آن را اصلاح کرد و نیاز به دسترسی فیزیکی است، معماری همه کامپیوترها هم مشخص هست و نیاز به حل معمای پیچیده نخواهد بود.
پیام حمله سایبری به جایگاه سوخت
ماجرای تابلویهای ترافیکی چه بوده است ؟
برخلاف وضعیت موجود در جایگاههای بنزین که سراسری بوده است وضعیت تابلوهای ترافیکی محدود میشود به شهر اصفهان! من در شبکههای اجتماعی بهجز سه تابلو که همه در اصفهان بودند تابلوی دیگری را ندیدم که هک شده باشد و البته اینکه سیستم اصفهان کارت هم از دسترس خارجشده است نشان میدهد که حمله سایبری به زیرساخت شهرداری اصفهان بوده است.
تابلوهای ترافیکی در سطح جادههای کشور از تابلوهای ترافیکی داخل شهر به شکل مجزا مدیریت میشود، مدیریت تابلوهای برونشهری اگر اشتباه نکنم با سازمان راهداری است و تابلوهای درونشهری با شهرداری است.
ساختار مدیریت تابلوها چگونه است ؟
برد مستر تابلو روان
با رنگی شدن برخی از تابلوها و البته استاندارد شدن پنلهای مورداستفاده آنها اغلب پیمانکارها از کنترلرهای چینی (کنترلر تابلو روان) برای مدیریت تابلوها استفاده میکنند و برای دسترسی از راه دور هم به شبکه همراه و روترهای میکروتیک متکی هستند و البته در مواردی حتی از شبکه apn هم استفاده نمیکنند!
همه تابلو از طریق تونل لایه ۲ یا ۳ بسته به نوع کارت مورد استفاده به یک سرور متصل میشود و تمام دستورات را سرور دریافت میکنند، به خوبی مشخص است اگر این سرور هک شود با توجه به استاندارد بودن پروتکل ارتباطی کارتهای تابلو روان به سادگی میشود هر تصویر یا متن دلخواهی را به آنها مخابره کرد.
با سلام،
مثل همیشه، این نوشته و تحقیق هم عالی بود. دست شما درد نکنه. فقط نمی دونم چرا اصطلاح فیرمور (فیرم ور Firmware) در همه جا فریمور نوشته شده. آیا من اشتباه میکنم؟
سلام فکر کنم به فارسی غالبا همینجور مینویسن
آیا بهتر نیست از معادل کامل فارسی آن یعنی کلمه ” میان افزار ” استفاده کنیم ؟
فکر میکنم خیلی گویا و جا افتاده نباشه
یعنی خیلی ها احتمالا بیشتر سردرگم بشن از این معادل
با سلام
با توجه به حساسیت بالای سیستم قطعا برای محافظت از آن برنامه ریزی شده بود. ولی اگر به اطلاعات کاربرهای ارشد هر سیستمی دسترسی داشته باشید تخریب آن سخت نیست. در حال حاضر هم متاسفانه خیلی از متخصصان داخلی به خارج از کشور مهاجرت کرده اند، مثل تعدادی از برنامه نویسان سیستم اینترنت ملی که مهاجرت کرده اند.
در مورد تاخیر در راه اندازی سیستم، با توجه شواهدی که از نحوه کارکرد سیستم دیده می شود، مثل محدودیت دفعات سوختگیری و مقدار سوخت قابل تحویل و توقف پمپ بنزین ها در انتهای شیفت برای بروز رسانی سیستم ها، احتمالا بانک اطلاعاتی اصلی بصورت توزیع شده در کشور استفاده می شود و با یک دستورالعمل تعیین شده یکپارچگی آن حفظ می شود.
در این حمله احتمالا بانک اصلی آسیب دیده و ارتباط بین بانک ها از بین رفته است. لذا برای راه اندازی مجدد نیاز بوده تا در یک تایم مشخص و یا ساعت صفر دوباره همه با هم همگام شده و اطلاعات مصرف کاربران مجدد در آخرین نسخه پشتیبان بروز شده و سیستم به حالت عادی برگردد.
تاخیر در راه اندازی احتمالا به این دلیل بوده است.
سلام دوست عزیز
احتمال های خیلی زیادی میشه داد ولی دلیل واقعی تاخیر همونطور هم که در رسانه های داخلی بازتاب داشت بروز رسانی فریمور بوده است
این که اطلاعات دیتابیس سوخت دچار مشکل شده یا نه رو نمیدونم ولی دلیل تاخیر در راه اندازی دقیقا بروز رسانی تک تک پمپ ها بوده است
من هم چند گمانه زنیدارم
اول: از آنجا که پروژه سوخت ملی برای دوران قدیم است و تاجایی که می دانم از سال حداقل ۸۰ همین کنسول فیزیکی را داشته احتمالا از حفره های سخت افزاری درپردازنده های x86 اینتل و از نسل ۱ تا ۶ استفاده شده در کامپیوتر مرکزی جایگاه برای نفوذ استفاده شده.
دوم: همانطور که میدانیم ویندوز ۷ دیگر اپدیت امنیتی دریافت نمیکند و بعید میدونم کسی از۷ به بالا رو روی کامپیوتر قدیمی جایگاه سوخت قرار بده پس یا xp یا ۷ یا احتمال کم ce
خب هممون میدونیم که آسیب پذیری این ویندوزها در حد عابر بانکه پس نفوز به آنها برای کسی که متخصص نفوذ باشد کارآسانی است فقط زمان مهم است که احتمالا یک هفته طول میکشد.
سه: افراد قطعا به سازنده نرم افزار میانی دسترسی داشته و احتمالا مدتی درآن شرکت تحقیق کرده اند و احتمالا ارتباطاتی در وزارت نفت هم بوده است متاسفانه.
چهارم: البطه دعا میکنم این گزینه نباشد اما اگر هکر به مجوز های امنیتی سیستم عامل و سخت افزار هدف دسترسی داشته باشد فاجعه است و قطعا سرویس امنیتی خاصی حمایت کننده آن شخص یا گروه بوده که متشکل از متخصص شبکه امنیت و سخت افزار و سیستم عامل بوده است که بسیار برای همه آشناست و مارا به یاد استاکس نت می اندازد.
با نقد خود بنده را یاریکنید.
مخصوصا استاد زئوس
سلام دوست عزیز
استاد کجا بوده دوست عزیز :/
ببیند طبق بررسی هایی که ما انجام دادیم سرورها لینوکسی بوده و هستند البته حمله از مرکز اصلی بوده که تمام جایگاه ها رو درگیر کرده – حالا چطور به سرور اصلی نفوذ شده جای بررسی و نقد دوستان شبکه ای رو داره که چطور ممکنه به شبکه ای که خصوصی است و بستر متفاوتی از اینترنت دارد نفوذ کرد
سلام صمیمانه تشکر دارم ازتون بخاطر مطالبی که قرار میدهید
Good luck Zeus
متشکرم 🙂
سلام
عالی بود?
یکی دو ماه قبل ، توی فروشگاه Esam یک برد کنترل نازل سوخت پمپ بنزین به قیمت ۴ میلیون و۳۰۰ هزار تومن به فروش میرسید . بردش مبتنی بر fpga بود . فک نمیکنم برای کسی با دانش فنی کافی و در دسترس داشتن این برد کار سختی بوده باشه هک کردنش. متاسفانه هرچی گشتم آگهی رو پیدا نکردم لینکش رو براتون قرار بدم. اجناس وقتی روی esam به فروش میرسن اگهیشون پاک نمیشه و به حالت به فروش رفته تغییر میکنه . ولی تو این مورد انگار اگهیش پاک شده .
سلام
متشکرم دوست عزیز نظر لطف شماست
واقعا این مساله که میگید عجیبه اونم برای این چنین چیزی
قطعا همینطور با دسترسی داشتن به سخت افزار هر مدل هکی ممکنه و تقریبا غیر ممکنه که غیر ممکن هست این وسط :/
من با فرض این که کسی این برد رو نداره داشتم این مقاله رو مینوشتم
بعید میدونم پیام رمز بشه over the air. اون که همراهه اینقد ضایع هست واس نگهداری موارد محرمانه که این جای خود داره
سلام خرید و فروش برد کنترل نازل چیز عجیبی نیست و کسی نمیتونه سو استفاده خاصی بکنه و به سیستم هوشمند سوخت و هک اون هم هیچ ارتباطی نداره. نهایتا یک نازل را جایی آفلاین کنند که اونهم شاید زود مشخص بشه
سلام من یکی از تعمیرکارهای پمپ بنزین هستم می تونم تا حدودی کمکتون کنم تا مورد واسه من هم روشن بشه
سلام دوست عزیز ،بسیار عالی
اگه امکان داره یکم در مورد مساله پیش آمده و نحوه عملکرد کلی سیستم بگید و این که برای رفع ایراد چه نرم افزاری یا سخت افزاری نیاز هست نصب یا تعویض شود که هنوز کارت ها در جایگاه ها کار نمیکنند ؟!
بنده هم یه جورایی هم تعمیر کار و هم طراح هستم. برای افلاین کردن نازل معمولا میکروکنترلر اون توسط شرکت سازنده دیسپنسر تعویض میشه. در برخی موارد هم با دادن رمز یا تعویض جمپرهای خاصی… به نظر من میاد که شاید هکرها سعی داشتن ادرس ای پی سرورهای اصلی را در جایگاهها تغییر بدن و دادن که سیستم به صورت خودکار خرابکاری را تشخیص داده و وارد مود غیرفعال شده…احتمالا
سلام دوست عزیز
ممنونم برای وقتی که قرار دادید و برای توضیحات خوب شما
چیزی که ما الان میدونیم حمله خیلی گسترده تر بوده و دقیق تر
فریمور برد کارتخوان عوض شده که مساله خیلی خاصی است
عجب ?
این پیام رو نمایشگر ها چیا بوده چرا چند تا پیام متفاوت در شبکه ها اجتماعی دست یه دست شده گ.
الآن خودتان هم دوپیام را نشون دادید.
این که پیام ها متفاوت چی دلیلی داره؟
سلام
پیام دست کاری شده ، در واقع پیامی نبوده که نشان داده شده ولی توسط خبرگزاری ها پخش شده بخاطر این که احتمالا در آینده فراموش شود، پیام اصلی حمله سایبری بوده است که سعی میکنند منتشر نشود جایی
ما هم بخاطر این که احتمالا هدف فیلتر قرار نگیریم از همان پیام های خبرگزاری ها استفاده کردیم
عجب ?
تا جائی که من میدونم و نمیتونم تمام اطلاعات را در مکان های عمومی یا حتی برای دوستانم بازگو کنم اصلا کل سیستم هائی که برنامه های مهم امنیتی و خصوصا نظامی رده بالا روی اونها نوشته میشوند اصلا و ابدا به هیچ نوع اینترنتی متصل نشده و حق اتصال ندارند و اینها در یک ساختمان بخصوص و تحت نظارت یکی از دوستان من هستند و از نسخه خاصی از سیستم عامل لینوکس که در داخل نوشته شده استفاده می کنند و هیچ کسی از کارکنان حق ورود یا خروج هیچ نوع حافظه سخت افزاری را به ساختمان ندارد . داخل این ساختمان هیچ گونه امکان ارتباط بوسیله تلفن یا موبایل وجود ندارد و از آن بصورت امنیت بسیار بالا ( حتی جنگال ) دفاع میشود . در حدی که من شناخت دارم غیرممکن است از این مکان اطلاعاتی به بیرون نشت کند . نرم افزارهای اصلی تمام پهبادها و موشکها و ضدهوائی های تولید ایران دقیقا همینجا نوشته میشوند .
سلام دوست عزیز
من از جزییات و چگونگی ماجرا اطلاعی ندارم ولی چیزی که هست اینه در نهایت این دستگاه ها با هم شبکه هستند
و برای شبکه امکان هک و نفوذ فراهم هست
مثل همیشه خاص و هیجان انگیز ?
متشکرم نظر لطف شماست