همچنین در طی تحقیقات، سه سایت فروشنده این نرم افزارها که به این طریق آلوده شده اند، کشف گردیده است. نصب کننده های نرم افزار موجود در این سایتها آلوده به تروجان دسترسی از راه دور Havex شده اند. به نظر می رسد، احتمالاً موارد مشابهی دیگری نیز موجود باشد که تاکنون کشف نگردیده است.
F-Secure نام این فروشنده های آلوده شده را بیان نکرده است اما اظهار داشت که دو شرکت از آنها توسعه دهنده نرم افزار مدیریت از راه دور ICS بودند و سومی تهیه کننده دوربین های صنعتی با دقت بالا و نرم افزارهای مرتبط با آن می باشد. به گفته این شرکت امنیتی، فروشندگان در آلمان، سوئیس و بلژیک هستند.
مهاجمان، برنامه های installer قانونی را برای اضافه و اجرا کردن فایلهای اضافی در کامپیوتر تغییر میدهند. فایل اضافه شده mbcheck.dll نام دارد و در حقیقت همان بدافزار Havex می باشد.
این روش توزیع جدید به علاوه برای حملات معمولی مانند ایمیل های اسپم و exploitهای مبتنی بر وب مورد استفاده قرار گرفته اند، و نشان می دهد کسانی که در پشت این عملیات هستند به طور خاص علاقمند به هدف قرار دادن سازمانهایی که از برنامه های کاربردی ICS و SCADA استفاده می کنند، شده اند.
نتیجه اینکه برنامه مخرب Havex جدید با هدف اسکن شبکه های محلی برای دستگاه هایی که به درخواستopen Platform Communication( (OPC به جود آمده اند. OPC. یک استاندارد ارتباطی است که اجازه تعامل بین برنامه های کاربردی SCADA مبتنی بر ویندوز و فرآیند کنترل سخت افزار را می دهد.
به گفته محققان F-Secure، بدافزار Havex به استاندارد OPC برای جمع آوری اطلاعات در مورد دستگاه های کنترل صنعتی نفوذ میکند. بدافزار Havex اطلاعات جمع آوری شده را به سرور خود، جهت تحلیل توسط مهاجمان ارسال میکند. در نتیجه به نظر می رسد که بدافزار Havex به عنوان یک ابزار برای جمع آوری اطلاعات استفاده می شود. تاکنون نیز هیچ payload ایی که سعی در کنترل سخت افزارهای متصل شده داشته باشد، مشاهده نگردیده است.
محققان F-Secure بیان کردند: "اکثر قربانیان در اروپا هستند، هرچند در زمان نوشتن این گزارش حداقل یک شرکت در کالیفرنیا مشاهده شده است که اطلاعات به سرورها ارسال کرده است". از سازمان های اروپایی، دو نهاد آموزشی بزرگ در زمینه پژوهش های مربوط به فناوری در فرانسه، دو تولیدکننده برنامه های کاربردی یا دستگاه های صنعتی در آلمان، یک تولیدکننده ماشین آلات صنعتی فرانسوی و یک شرکت ساخت و ساز متخصص در مهندسی سازه در روسیه به عنوان قربانیان شناخته شده اند.
در گزارشی که در ماه ژانویه2014منتشر شد، شرکت اطلاعاتی امنیتی CrowdStrike، گزارشی را درباره Havex RAT که حمله های هدفمند بر علیه سازمان های بخش انرژی در سپتامبر 2013(شهریور92) انجام داده بود، منتشر کرد و آن را مرتبط با گروهی از مهاجمان وابسته به دولت روسیه هستند، دانست. شرکت امنیتی به این گروه مهاجم لقب "خرس پر انرژی" داد و احتمال داد که زمان این بدافزار مخرب به آوت 2012 برمی گردد.
پس از کشف بدافزار خرابکار صنعتی استاکس نت در سال 2010 (1389شمسی)، محققان امنیتی در مورد ناامنی سیستم های کنترل صنعتی و سهولت مورد هدف قرار گرفتن آنها توسط مهاجمان هشدار دادند.
منبع: Douran
