Cyber Operations Academy logo
أكاديمية العمليات السيبرانية
Red / Blue / Ops
الرئيسية/الدروس/L80
العمليات والتقصيخبير70mL80

Critical Infrastructure — اللي لو وقع، الدنيا تقع

ICS/SCADA، طاقة، ميه، اتصالات، مالية

#ICS#SCADA#Energy#OT

البنية التحتية الحرجة: لما الكود يقطع الكهرباء عن بلد كاملة

  • طب اللي بيخترق فيسبوك ده خطير صح يا حضرتك؟؟

آه يا مستجد. بيسرّب بيانات. وحش طبعاً.

  • طب اللي بيخترق محطة كهرباء كاملة؟ اللي بيقفل النور عن مستشفى؟ اللي بيقطع المياه عن مدينة؟

ده مستوى تاني خالص يا نجم الجيل. ده بيحصل فعلياً. وفيه مجموعات مدعومة من دول قاعدة دلوقتي جوه بنية تحتية أمريكية وأوروبية، "مستنيين الأمر".

ده عالم الـ OT (Operational Technology). العالم اللي الكود فيه بيتحول لحركة ميكانيكية، حرارة، ضغط، كهرباء. لما الاختراق هنا يحصل، الكارثة مادية. الناس بتموت. مش بتسرّب بيانات.

[!danger] تحذير صريح اختراق ICS خطير على أرواح. أي تجربة لازم تكون في simulators معزولة. بلاش "عبث" في أنظمة حقيقية، لأنك ممكن تسبب انفجار. حرفياً. مش مجاز.

اوعى تعمل الغلطات دي في تأمين البنية الحرجة

  • بيظن إن "air gap" موجود لأن مفيش كابل ethernet ظاهر. الـ USB في إيد المهندس بيخسف الـ air gap كل أسبوع.
  • بيسيب الـ HMI password = "1234" أو "admin" لأن "المحطة جوّا الأسوار".
  • بيوصّل الـ engineering workstation بالـ corporate network "عشان الإيميل".
  • بيعمل compliance على ورق. الـ NERC-CIP موجودة، الـ patches مش موجودة.
  • بيستهلك الـ NetFlow بس للـ IT، مش لشبكة OT. فلما الكارثة تيجي، مفيش visibility.

IT vs OT — الفرق الجوهري

في IT، أهم حاجة السرّية (Confidentiality). في OT، أهم حاجة الأمان الفيزيائي (Safety)، وبعده الاستمرارية (Availability)، وبعده السرّية.

  • في IT: لو سيرفر هنّج، rebooted وخلاص.
  • في OT: لو سيرفر اتـ reboot لمدة 5 ثواني، ممكن المصنع يقفل، الغلاية تنفجر، أو القطر يتصدم.

عشان كده في المصانع بتلاقي أجهزة شغّالة من 2003 من غير update. لأن الفلسفة هنا: "اللي شغّال ما تلمسوش". والمهاجم ده بالظبط اللي بيدوّر عليه.

نموذج بيردو (Purdue Model) — الأسوار

Level 5 — Internet / Cloud
Level 4 — شبكة الشركة (إيميل، ERP)
Level 3.5 — DMZ (jump servers, historians)
═══ الحدود الكلاسيكية ═══
Level 3 — Operations management (SCADA, HMI)
Level 2 — Process supervisory
Level 1 — Basic control (PLC, RTU)
Level 0 — المعدات الفيزيائية (مواتير، محابس، حساسات)

المهاجم بيدخل من فوق (إيميل لمهندس) ويزحف لتحت لحد ما يوصل Level 1. هناك بتبدأ الكارثة الفعلية.

قصص من الواقع — كوابيس بقت سوابق

Sandworm (روسيا) — أوكرانيا 2015 و 2016

ديسمبر 2015. Sandworm (GRU روسي) قطعوا الكهرباء عن 230,000 شخص في غرب أوكرانيا لمدة 6 ساعات في عز الشتاء. السكة:

  • spear-phishing لموظفين في 3 شركات كهرباء.
  • BlackEnergy malware دخل، فضل قاعد 6 شهور بيستكشف.
  • يوم الهجوم: المهاجمين فتحوا الـ HMI من بعيد و قفلوا الـ breakers يدوياً.
  • في نفس الوقت: KillDisk مسح القرص الصلب بتاع الـ SCADA. والـ telephone DoS قفل خط الطوارئ عشان الناس ما يبلّغوش.

سنة كاملة قبل الهجوم وهم جوه. 6 شهور بيتعلموا إزاي الشبكة شغّالة. اليوم نفسه كان عملية "hands-on-keyboard" — مفيش automation. ضربة هجين بين السايبر والإرهاب.

2022 — لما الحرب بدأت — Industroyer2 ضرب نفس البنية تاني. CaddyWiper بعدها على عشرات السيرفرات.

Volt Typhoon (الصين) — التموضع للأزمات

  1. CISA و NSA و FBI أعلنوا إن مجموعة صينية اسمها Volt Typhoon قاعدة جوه بنية تحتية أمريكية: موانئ، شبكات مياه، اتصالات. مش بيسرقوا حاجة.

هما بس قاعدين. بـ "living-off-the-land" — أدوات Windows العادية، مفيش malware جديد، مفيش noise. هدفهم؟

"التموضع للأزمات". يعني لو الصين والأمريكان دخلوا في صدام عسكري على تايوان، ساعتها — وساعتها بس — يفعّلوا الـ access ويقطعوا المياه عن لوس أنجلس، ويوقفوا موانئ سان فرانسيسكو.

ده مفهوم تاني خالص للأمن السيبراني. الأمريكان بيسموه "pre-positioning". والصينيين قاعدين فعلاً.

الاستهتار الإيراني — محطات المياه 2023

نوفمبر 2023. هكرز إيرانيون اسمهم CyberAv3ngers دخلوا على محطة مياه في بنسلفانيا. السكة؟

الـ HMI بتاع الـ Unitronics PLC على الإنترنت. Password افتراضي: 

1111
.

غيّروا شاشة العرض لرسالة معادية لإسرائيل وقفلوا المضخة. اتصرّفوا في 6 ولايات أمريكية. مفيش zero-day. مفيش APT خرافي. password افتراضي على PLC مكشوف للإنترنت.

ده مستوى الكسل اللي إحنا فيه.

إزاي المهاجم بيشمشم؟

 bash
# Shodan queries بتفضح كل البنية الحرجة في العالم
shodan search 'product:"Siemens S7" country:US'
shodan search 'port:502 country:US'  # Modbus
shodan search 'port:44818 country:US'  # CIP / EtherNet/IP
shodan search 'port:47808'  # BACnet (HVAC, مستشفيات)

كل واحد من دول = جهاز مكشوف للإنترنت. آلاف الأجهزة. مياه، كهرباء، تكييف مستشفيات. كله متاح من الـ browser.

النصايح الفعلية للمدافعين

لو إنت مسؤول عن تأمين بنية حرجة، 3 حاجات لو عملتهم بتحمي 80% من الهجمات:

1. اقفل السكة بين IT و OT

  • مفيش جهاز في OT بيشوف الإنترنت.
  • مفيش جهاز في OT بيشوف الإيميل.
  • بين IT و OT: data diode (one-way) أو jump server في DMZ بـ MFA + monitoring كامل.

2. غيّر الـ defaults، كل الـ defaults

  • كل PLC، كل HMI، كل engineering workstation: password قوي، unique.
  • شيل default accounts (admin, operator).
  • SNMP communities — مش "public" ولا "private".

3. MFA على كل remote access

  • مهندس داخل من البيت = MFA.
  • vendor remote support = MFA + session recording.
  • مفيش "بس عشان دلوقتي".

وزيادة:

  • Asset inventory — كم PLC عندك؟ بالظبط؟ من غير رقم، أنت ما عندكش حماية.
  • Backup للـ PLC configs offline + tested — لو wiper ضرب، تقدر ترجّع.
  • Passive monitoring فقط — Claroty، Dragos، Nozomi.
  • NIST SP 800-82 + IEC 62443 كأطر عمل.

الخلاصة الناشفة

تأمين البنية التحتية الحرجة مش رفاهية. ده أمن قومي.

لو فكرت إنك "متحصّن" لمجرد إن الـ HMI "جوّا الأسوار"، أنت بتلعب على نفسك. كل APT محترمة عرفت تخش لجوّا الأسوار. السؤال: قدّ إيه قاعدة، وإمتى الأمر هييجي لتشغيل الـ access.

اكتبها على المكتب اللي قدامك:

المهاجمين بيدوّروا على "الكسل" و "السهو" أكتر بكتير ما بيدوّروا على zero-days. والكسل عندنا — في كتير من الجهات — على ورق وبس. الواقع: السيرفر شغّال من 2019، الـ password "admin"، والـ MFA "مش متفعّل". حلّها مش tool. حلّها قرار إداري.

ربنا يستر على شبكاتنا. وعلى الناس اللي بتاكل عيش من البنية اللي إحنا بنحميها.

السابق
ICS/SCADA — Modbus و DNP3 و IEC-104
الوحدة التالية
Nation-State Tradecraft — لما الدول هي اللي بتهاجم