اینترنت اشیاء, توصیه شده

ماجرای حمله سایبری و ازکارافتادن پمپ‌بنزین‌ها و تابلوهای ترافیکی

ماجرای حمله سایبری و ازکارافتادن پمپ‌بنزین‌ها و تابلوهای ترافیکی

دیروز اتفاقی افتاد که خواب را از چشمان زیادی گرفت، البته برای ما این دست اتفاق‌ها زیاد ناشناخته نیست، در سال‌های اخیر (بخوانید ماه‌های اخیر) تکرارهای زیادی داشته است. هک و درز اطلاعات، حمله سایبری به سامانه‌های مختلف، از اپراتورهای همراه تا سامانه‌های حمل‌ونقل مثل رجا و حتی تجاری مثل بندرگاه‌ها و گمرک‌ها، تنها در نمونه رجا بود که مردم با جابجا شدن و کنسل شدن برنامه‌های حرکت ابعاد مختلف این دست حملات را زندگی روزمره خود حس کردند و این بار با ازکارافتادن پایانه‌های سوخت‌رسانی افراد بیشتری درگیر تبعات آن شدند. آن‌طور که در شبکه‌های اجتماعی دیدم گمانه‌زنی‌های زیادی در خصوص هک فریمور وجود دارد که به‌شخصه آنها را وارد نمی‌دانم که البته در ادامه به بررسی دلایل آن می‌پردازیم و به بررسی روش احتمالی نفوذ می‌پردازیم، البته لازم است که هنوز ابعاد دقیق حمله هنوز مشخص نشده است و ما در این مقاله صرفاً گمانه‌زنی می‌کنیم، در هر حال سخت‌افزار حوزه تخصصی ما است.

 

حمله سایبری و از کار افتان جایگاه‌های پمپ‌بنزین

بگذارید اول از جایگاه‌های پمپ‌بنزین شروع کنیم که ابعاد گسترده‌تری داشت، دوستانی در فضای مجازی معتقد بودند و احتمالاً هستند که فریمور سخت‌افزار نصب‌شده بر روی پمپ‌بنزین هک شده، به نظر من این گمانه‌زنی مقداری دور از واقعیت است به دلایل زیادی که در ادامه به توضیح آن خواهیم پرداخت. برای این‌که بهتر بتوانیم ابعاد مختلف را بررسی کنیم نیاز است که دید کلی از نحوه عملکرد سیستم کارت سوخت داشته باشیم.

با صحبت‌هایی که با یکی از دوستان فعال در این حوزه داشتیم متوجه شدیم که درواقع در پمپ سوخت دو سیستم کنترلی وجود دارد، یک سیستم (از این به بعد آن را مستر می‌خوانیم) که کارت‌خوان و نمایشگر به آن متصل است و با ارتباط شبکه لوکال به سیستم (بخوانید کامپیوتر) تعبیه‌شده در جایگاه سوخت متصل است و آن کامپیوتر از طریق شبکه خصوصی (نه اینترنت ملی نه اینترنت) به سرور اصلی متصل شده است.

برد دیگری در پمپ سوخت بردی است که به یک ارتباط با مستر دارد و کارهای کنترلی پمپ را مدیریت می‌کند کارهایی مثل این که آیا نازل در سر جای خود قرار گرفته است یا نه شمارش سوخت استفاده شده …

پس در انتها برد کنترلی با برد مستر در ارتباط است و مستر با کامپیوتر جایگاه و کامپیوتر جایگاه با سرور مرکزی، البته اگر این وسط کنترلر دیگری وجود داشته باشد ما از آن اطلاعی نداریم. می دانیم که برد کنترلری توسط میکروکنترلر راه اندازی شده است و توسط پیمانکارهای مختلف تأمین شده است اما برد مستر تنها توسط یک شرکت خاص که مجوزهای لازم را داشته است تولید شده است.

 

چرا پمپ‌های بنزین حالت دستی نداشتند؟

برد کنترلی که عملاً مدیریت اعمال پمپ را انجام می‌دهد احتمالاً برای جلوگیری از تقلب‌های احتمالی به نحوی طراحی‌شده است (یعنی الزام به طراحی وجود داشته است) که تنها در حالتی کار کند که دستورهای کنترلی را از برد مَستر دریافت کند!

با ازکارافتادن برد مستر و عدم ارسال دستور لازم، عملاً پمپ غیرفعال و غیرقابل استفاده می‌شود! البته بعد از گذشت ساعت‌ها، تعدادی از پمپ‌ها در مدار قرار گرفتند که احتمالاً به شکل آفلاین بوده است به دلیل نرخ سوخت آزاد نه سهمیه‌ای.

 

 

آیا فریمور پمپ‌بنزین هک شده بود؟

به‌شخصه این احتمال را کم می‌دانم (ولی هر احتمالی مطرح است و نباید کنار گذاشته شود)، اطلاعات زیادی در خصوص برد مستر در دسترس نیست و نحوه عملکرد آن به درستی روشن نیست، به عنوان نمونه آیا اگر ارتباط آن با سرور اصلی قطع شود امکان ارائه خدمات به شکل آفلاین را دارد یا نه!‌ آیا مبتنی بر میکروکنترلر است یا SOC ها (اگر شما اطلاعاتی در این خصوص دارید خوشحال می‌شویم آن را با ما به اشتراک بگذارید)،

اما با توجه به این که برد بعد از این که از کار افتاده است در حال نمایش متن پیامی است! به تنهایی نشان می‌دهد که پردازنده آن در حال کار است یا در بدبینانه‌ترین حالت ممکن باید فرض کرد که در حال کار بوده است.

تنها در حالتی ممکن است که فریمور دستگاه آن هم به آن وسعت (سراسر کشور) هک شود که قابلیت OTA (over-the-air update) وجود داشته باشد، اغلب طراحی که OTA را طراحی می‌کنید فایل فریمور را رمزگذاری می‌کنید تا قابل شنود و سوء استفاده در صورت درز آن نباشد. برای این که کسی بتوانید یک سیستم را از راه دور آپدیت کند نیاز دارد اول دستورات و فرمت آپدیت را بداند، فارغ از آن باید نوع پردازنده و اتصالات به دیوایس های جانبی مثل LCD را بداند و البته نوع کنترلر lcd را نیز بداند تا بتواند در یک آپدیت چنین پیامی را بر روی نمایشگر دستگاه نمایش دهد.

هک پمپ بنزین

پیام سیستم دستکاری شده در جایگاه سوخت

دانستن همه این جزییات حتی جزییات سخت‌افزاری کار بسیار پیچیده‌ای است و مقداری دور از ذهن، چیز دیگری که جلب‌توجه می‌کند فونت نمایش داده‌شده بر روی نمایشگر است که ظاهراً با فونت استفاده‌شده در فریمور اصلی دستگاه همخوانی دارد، چهار احتمال را برجسته‌تر از دیگر احتمال‌ها می‌کند،

۱. هکرها به سورس فریمور اصلی دسترسی داشته‌اند و از آن استفاده کرده‌اند
۲. سرور اصلی هک شده و این پیام برای همه پمپ‌ها ارسال‌شده است.
۳. سرور اصلی هک شده و پیام برای همه ارسال‌شده و بعد دستگاه را از کار انداخته‌اند
۴. کامپیوتر موجود در جایگاه هک شده و نرم‌افزار آن تغییر داده‌شده باشد!

 

تجربه حمله سایبری مشابه در ارتباط با سرور

گزینه یک که دیگه حرفی را برای گفتن نمی‌گذارد. اما حالت دوم ساده‌تر است، تجربه مشابهی را در طراحی دستگاهی داشتم که برای یک نهاد دولتی بود و قرار بود پیام متنی را بر روی نمایشگری به کاربر نمایش دهد.

با توجه به این‌که ممکن بود نوع پیام و متن آن در آینده تغییر کند متن پیام از سرور به دستگاه ارسال می‌شد و دستگاه با فونت امبد شده خودش آن پیام را نمایش می‌داد، حالا فرض کنید سرور اصلی هک شده باشد و برای همه دستگاه‌های متصل این پیام ارسال‌شده باشد و بعد به نحوی سرور از سرویس خارج‌شده باشد! البته با توجه به این که هنوز سیستم به روال عادی برنگشته است نشان می‌دهد که حمله یک سرور را هدف قرار نداده است که اگر این‌طور بود در ساعت ابتدایی با رفع مشکل سرور اصلی باقی دستگاه‌ها در سرویس قرار می‌گرفتند.

 

دست کاری سرور هر جایگاه

می‌دانیم که پمپ‌ها همه به یک کامپیوتر در خود جایگاه متصل هستند حالا اگر نرم‌افزار این سرورها قابلیت به‌روزرسانی داشته باشند (که احتمالاً دارند) خیلی ساده‌تر است که نرم‌افزار موجود در این سرورها تغییر کرده باشد یا هک شده باشد در این صورت همه سیستم از کار خواهد افتاد و نمی‌توان از راه دور آن را اصلاح کرد و نیاز به دسترسی فیزیکی است، معماری همه کامپیوترها هم مشخص هست و نیاز به حل معمای پیچیده نخواهد بود.

حمله سایبری جایگاه سوخت

پیام حمله سایبری به جایگاه سوخت

 

این‌که هنوز سیستم جایگاه‌ها هنوز به روال عادی برنگشته است نشان می‌دهد که عمق حمله و خرابکاری زیاد بوده است و باید در تک‌تک جایگاه‌ها چیزی را اصلاح کنند!

 

ماجرای تابلوی‌های ترافیکی چه بوده است ؟

برخلاف وضعیت موجود در جایگاه‌های بنزین که سراسری بوده است وضعیت تابلوهای ترافیکی محدود می‌شود به شهر اصفهان! من در شبکه‌های اجتماعی به‌جز سه تابلو که همه در اصفهان بودند تابلوی دیگری را ندیدم که هک شده باشد و البته این‌که سیستم اصفهان کارت هم از دسترس خارج‌شده است نشان می‌دهد که حمله سایبری به زیرساخت شهرداری اصفهان بوده است.

تابلوهای ترافیکی در سطح جاده‌های کشور از تابلوهای ترافیکی داخل شهر به شکل مجزا مدیریت می‌شود، مدیریت تابلوهای برون‌شهری اگر اشتباه نکنم با سازمان راهداری است و تابلوهای درون‌شهری با شهرداری است.

 

ساختار مدیریت تابلوها چگونه است ؟

برد تابلو روان

برد مستر تابلو روان

 

با رنگی شدن برخی از تابلوها و البته استاندارد شدن پنل‌های مورداستفاده آنها اغلب پیمانکارها از کنترلرهای چینی (کنترلر تابلو روان) برای مدیریت تابلوها استفاده می‌کنند و برای دسترسی از راه دور هم به شبکه همراه و روترهای میکروتیک متکی هستند و البته در مواردی حتی از شبکه apn هم استفاده نمی‌کنند!

همه تابلو از طریق تونل لایه ۲ یا ۳ بسته به نوع کارت مورد استفاده به یک سرور متصل می‌شود و تمام دستورات را سرور دریافت می‌کنند، به خوبی مشخص است اگر این سرور هک شود با توجه به استاندارد بودن پروتکل ارتباطی کارت‌های تابلو روان به سادگی می‌شود هر تصویر یا متن دلخواهی را به آنها مخابره کرد.

انتشار مطالب با ذکر نام و آدرس وب سایت سیسوگ، بلامانع است.

شما نیز میتوانید یکی از نویسندگان سیسوگ باشید.   همکاری با سیسوگ

25 دیدگاه در “ماجرای حمله سایبری و ازکارافتادن پمپ‌بنزین‌ها و تابلوهای ترافیکی

  1. Avatar for مسعود سعیدی مسعود سعیدی گفت:

    با سلام،

    مثل همیشه، این نوشته و تحقیق هم عالی بود. دست شما درد نکنه. فقط نمی دونم چرا اصطلاح فیرمور (فیرم ور Firmware) در همه جا فریمور نوشته شده. آیا من اشتباه می‌کنم؟

    1. Avatar for Sisoog Os Sisoog Os گفت:

      سلام فکر کنم به فارسی غالبا همینجور مینویسن

      1. Avatar for شهریار شهریار گفت:

        آیا بهتر نیست از معادل کامل فارسی آن یعنی کلمه ” میان افزار ” استفاده کنیم ؟

        1. Avatar for Zeus ‌ Zeus ‌ گفت:

          فکر میکنم خیلی گویا و جا افتاده نباشه
          یعنی خیلی ها احتمالا بیشتر سردرگم بشن از این معادل

  2. Avatar for بهروز یزدانی بهروز یزدانی گفت:

    با سلام
    با توجه به حساسیت بالای سیستم قطعا برای محافظت از آن برنامه ریزی شده بود. ولی اگر به اطلاعات کاربرهای ارشد هر سیستمی دسترسی داشته باشید تخریب آن سخت نیست. در حال حاضر هم متاسفانه خیلی از متخصصان داخلی به خارج از کشور مهاجرت کرده اند، مثل تعدادی از برنامه نویسان سیستم اینترنت ملی که مهاجرت کرده اند.
    در مورد تاخیر در راه اندازی سیستم،‌ با توجه شواهدی که از نحوه کارکرد سیستم دیده می شود،‌ مثل محدودیت دفعات سوختگیری و مقدار سوخت قابل تحویل و توقف پمپ بنزین ها در انتهای شیفت برای بروز رسانی سیستم ها،‌ احتمالا بانک اطلاعاتی اصلی بصورت توزیع شده در کشور استفاده می شود و با یک دستورالعمل تعیین شده یکپارچگی آن حفظ می شود.
    در این حمله احتمالا بانک اصلی آسیب دیده و ارتباط بین بانک ها از بین رفته است. لذا برای راه اندازی مجدد نیاز بوده تا در یک تایم مشخص و یا ساعت صفر دوباره همه با هم همگام شده و اطلاعات مصرف کاربران مجدد در آخرین نسخه پشتیبان بروز شده و سیستم به حالت عادی برگردد.
    تاخیر در راه اندازی احتمالا به این دلیل بوده است.

    1. Avatar for Zeus Zeus گفت:

      سلام دوست عزیز
      احتمال های خیلی زیادی میشه داد ولی دلیل واقعی تاخیر همونطور هم که در رسانه های داخلی بازتاب داشت بروز رسانی فریمور بوده است
      این که اطلاعات دیتابیس سوخت دچار مشکل شده یا نه رو نمیدونم ولی دلیل تاخیر در راه اندازی دقیقا بروز رسانی تک تک پمپ ها بوده است

  3. Avatar for سینا سینا گفت:

    من هم چند گمانه زنی‌دارم

    اول: از‌ آنجا که پروژه سوخت ملی‌ برای‌ دوران قدیم است و تا‌جایی‌ که می‌ دانم از‌ سال حداقل‌ ۸۰ همین کنسول فیزیکی‌ را داشته احتمالا از حفره های‌ سخت افزاری در‌پردازنده های x86 اینتل و از نسل ۱ تا ۶ استفاده شده در کامپیوتر مرکزی جایگاه برای‌ نفوذ استفاده شده.

    دوم: همانطور‌ که میدانیم ویندوز ۷ دیگر اپدیت امنیتی دریافت نمیکند و بعید میدونم کسی از‌۷ به بالا رو روی کامپیوتر‌ قدیمی جایگاه سوخت قرار بده پس یا xp یا ۷ یا احتمال‌ کم ce
    خب هممون میدونیم که آسیب پذیری‌ این ویندوز‌ها در حد عابر بانکه پس نفوز به آنها‌ برای کسی که متخصص نفوذ باشد کار‌آسانی‌ است فقط‌ زمان مهم است که احتمالا‌ یک هفته طول میکشد.

    سه: افراد قطعا به سازنده نرم افزار میانی دسترسی داشته و احتمالا مدتی در‌آن شرکت تحقیق کرده اند و احتمالا ارتباطاتی در‌ وزارت نفت‌ هم بوده است متاسفانه.

    چهارم: البطه دعا میکنم این گزینه نباشد اما اگر هکر به مجوز های امنیتی‌ سیستم عامل و سخت افزار‌ هدف دسترسی‌ داشته باشد فاجعه است و قطعا‌ سرویس امنیتی خاصی حمایت کننده آن شخص یا گروه بوده که متشکل‌ از‌ متخصص‌ شبکه امنیت و سخت افزار و سیستم عامل‌ بوده است که بسیار برای همه آشناست و مارا‌ به یاد استاکس‌ نت می اندازد.

    با نقد خود بنده را یاری‌کنید.
    مخصوصا استاد‌ زئوس

    1. Avatar for Zeus Zeus گفت:

      سلام دوست عزیز
      استاد کجا بوده دوست عزیز :/
      ببیند طبق بررسی هایی که ما انجام دادیم سرورها لینوکسی بوده و هستند البته حمله از مرکز اصلی بوده که تمام جایگاه ها رو درگیر کرده – حالا چطور به سرور اصلی نفوذ شده جای بررسی و نقد دوستان شبکه ای رو داره که چطور ممکنه به شبکه ای که خصوصی است و بستر متفاوتی از اینترنت دارد نفوذ کرد

  4. Avatar for عباس سخایی عباس سخایی گفت:

    سلام صمیمانه تشکر دارم ازتون بخاطر مطالبی که قرار میدهید

    Good luck Zeus

  5. Avatar for Clooner Clooner گفت:

    سلام
    عالی بود?
    یکی دو ماه قبل ، توی فروشگاه Esam یک برد کنترل نازل سوخت پمپ بنزین به قیمت ۴ میلیون و۳۰۰ هزار تومن به فروش میرسید . بردش مبتنی بر fpga بود . فک نمیکنم برای کسی با دانش فنی کافی و در دسترس داشتن این برد کار سختی بوده باشه هک کردنش. متاسفانه هرچی گشتم آگهی رو پیدا نکردم لینکش رو براتون قرار بدم. اجناس وقتی روی esam به فروش میرسن اگهیشون پاک نمیشه و به حالت به فروش رفته تغییر میکنه . ولی تو این مورد انگار اگهیش پاک شده .

    1. Avatar for Zeus Zeus گفت:

      سلام
      متشکرم دوست عزیز نظر لطف شماست
      واقعا این مساله که میگید عجیبه اونم برای این چنین چیزی
      قطعا همینطور با دسترسی داشتن به سخت افزار هر مدل هکی ممکنه و تقریبا غیر ممکنه که غیر ممکن هست این وسط :/
      من با فرض این که کسی این برد رو نداره داشتم این مقاله رو مینوشتم

    2. Avatar for شهروند شهروند گفت:

      بعید میدونم پیام رمز بشه over the air. اون که همراهه اینقد ضایع هست واس نگهداری موارد محرمانه که این جای خود داره

    3. Avatar for علی علی گفت:

      سلام خرید و فروش برد کنترل نازل چیز عجیبی نیست و کسی نمیتونه سو استفاده خاصی بکنه و به سیستم هوشمند سوخت و هک اون هم هیچ ارتباطی نداره. نهایتا یک نازل را جایی آفلاین کنند که اونهم شاید زود مشخص بشه

  6. Avatar for mostafa mostafa گفت:

    سلام من یکی از تعمیرکارهای پمپ بنزین هستم می تونم تا حدودی کمکتون کنم تا مورد واسه من هم روشن بشه

    1. Avatar for Zeus Zeus گفت:

      سلام دوست عزیز ،‌بسیار عالی
      اگه امکان داره یکم در مورد مساله پیش آمده و نحوه عملکرد کلی سیستم بگید و این که برای رفع ایراد چه نرم افزاری یا سخت افزاری نیاز هست نصب یا تعویض شود که هنوز کارت ها در جایگاه ها کار نمیکنند ؟!

      1. Avatar for علی علی گفت:

        بنده هم یه جورایی هم تعمیر کار و هم طراح هستم. برای افلاین کردن نازل معمولا میکروکنترلر اون توسط شرکت سازنده دیسپنسر تعویض میشه. در برخی موارد هم با دادن رمز یا تعویض جمپرهای خاصی… به نظر من میاد که شاید هکرها سعی داشتن ادرس ای پی سرورهای اصلی را در جایگاهها تغییر بدن و دادن که سیستم به صورت خودکار خرابکاری را تشخیص داده و وارد مود غیرفعال شده…احتمالا

        1. Avatar for Zeus Zeus گفت:

          سلام دوست عزیز
          ممنونم برای وقتی که قرار دادید و برای توضیحات خوب شما
          چیزی که ما الان میدونیم حمله خیلی گسترده تر بوده و دقیق تر
          فریمور برد کارتخوان عوض شده که مساله خیلی خاصی است

  7. Avatar for At At گفت:

    عجب ?
    این پیام رو نمایشگر ها چیا بوده چرا چند تا پیام متفاوت در شبکه ها اجتماعی دست یه دست شده گ.
    الآن خودتان هم دوپیام را نشون دادید.
    این که پیام ها متفاوت چی دلیلی داره؟

    1. Avatar for Zeus Zeus گفت:

      سلام
      پیام دست کاری شده ، در واقع پیامی نبوده که نشان داده شده ولی توسط خبرگزاری ها پخش شده بخاطر این که احتمالا در آینده فراموش شود، پیام اصلی حمله سایبری بوده است که سعی میکنند منتشر نشود جایی
      ما هم بخاطر این که احتمالا هدف فیلتر قرار نگیریم از همان پیام های خبرگزاری ها استفاده کردیم

      1. Avatar for علی ترابی علی ترابی گفت:

        عجب ?

      2. Avatar for شهریار شهریار گفت:

        تا جائی که من میدونم و نمیتونم تمام اطلاعات را در مکان های عمومی یا حتی برای دوستانم بازگو کنم اصلا کل سیستم هائی که برنامه های مهم امنیتی و خصوصا نظامی رده بالا روی اونها نوشته میشوند اصلا و ابدا به هیچ نوع اینترنتی متصل نشده و حق اتصال ندارند و اینها در یک ساختمان بخصوص و تحت نظارت یکی از دوستان من هستند و از نسخه خاصی از سیستم عامل لینوکس که در داخل نوشته شده استفاده می کنند و هیچ کسی از کارکنان حق ورود یا خروج هیچ نوع حافظه سخت افزاری را به ساختمان ندارد . داخل این ساختمان هیچ گونه امکان ارتباط بوسیله تلفن یا موبایل وجود ندارد و از آن بصورت امنیت بسیار بالا ( حتی جنگال ) دفاع میشود . در حدی که من شناخت دارم غیرممکن است از این مکان اطلاعاتی به بیرون نشت کند . نرم افزارهای اصلی تمام پهبادها و موشکها و ضدهوائی های تولید ایران دقیقا همینجا نوشته میشوند .

        1. Avatar for Zeus ‌ Zeus ‌ گفت:

          سلام دوست عزیز
          من از جزییات و چگونگی ماجرا اطلاعی ندارم ولی چیزی که هست اینه در نهایت این دستگاه ها با هم شبکه هستند
          و برای شبکه امکان هک و نفوذ فراهم هست

  8. Avatar for Mahdi.h Mahdi.h گفت:

    مثل همیشه خاص و هیجان انگیز ?

    1. Avatar for Zeus Zeus گفت:

      متشکرم نظر لطف شماست

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *