Cyber Operations Academy logo
أكاديمية العمليات السيبرانية
Red / Blue / Ops
الرئيسية/الدروس/L32
العمليات والتقصيخبير70mL32

البنية التحتية الحرجة — أولويات الأمن القومي

تأمين أنظمة الطاقة والمياه والاتصالات والمالية

#ICS#SCADA#Energy#OT

البنية التحتية الحرجة — استراتيجيات الدفاع والاستهداف الحكومي

عندما تتلقى وحدات الهجوم السيبراني التابعة للدول توجيهات بـ "التموضع المسبق للأزمات" (Pre-positioning for crisis)، فإن أهدافها لا تقتصر على خوادم البريد الإلكتروني، بل تتركز على الأنظمة التي يؤدي فشلها إلى تأثيرات مادية ملموسة: الطاقة، المياه، الوقود، الاتصالات، النقل، والقطاع المالي. تمثل القطاعات الـ 16 التي حددتها وكالة (CISA) القائمة المعيارية لهذه الأهداف. يستعرض هذا الدرس هيكلية هذه الأنظمة، ومنهجيات اختراقها، ونقاط الضعف التي يغفل عنها المدافعون باستمرار.

[!danger] نطاق ذو تأثير استراتيجي وحساسية قصوى إن اختراق أنظمة التحكم الصناعي (ICS) والأنظمة التشغيلية (OT) قد يعرض الأرواح للخطر. يجب تنفيذ جميع التطبيقات في مختبرات معزولة (مثل GRFICSv3, T-Pot OT, Conpot, ICSrange) أو بموجب تصريح رسمي مكتوب لاختبار اختراق أنظمة ICS مع الموافقة على خطة السلامة.

القطاعات الـ 16 الحيوية في سطور

القطاعالأهمية الاستراتيجية للدول
الطاقة (الكهرباء، النفط، الغاز)إحداث انهيارات متتالية (Cascade Failures) وضغوط جيوسياسية
المياه والصرف الصحيالتأثير على الصحة العامة؛ وعادة ما تكون دفاعاتها هي الأضعف
الاتصالات (الاتصالات، المزودين، الأقمار الصناعية)التموضع لجمع الاستخبارات الإشارية (SIGINT) وعزل الاتصالات
الخدمات الماليةالالتفاف على العقوبات وإحداث اضطرابات في السوق
الرعاية الصحية والصحة العامةممارسة ضغوط قسرية أثناء الأزمات
النقل (الطيران، البحري، السكك الحديدية)تعطيل اللوجستيات وسلاسل الإمداد
الغذاء والزراعةاستغلال الإمدادات الاستراتيجية كورقة ضغط
المنشآت الحكوميةضمان استمرارية العمل الحكومي
القاعدة الصناعية الدفاعيةسرقة القدرات العسكرية والتخريب
الطاقة النوويةالسلامة العامة والحفاظ على سلامة الردع
المواد الكيميائيةمنع الكوارث البيئية والمتعلقة بالسلامة
التصنيع الحرجاستهداف نقاط الاختناق في التصنيع
السدودمخاطر الفيضانات والتحكم في الطاقة الإقليمية
خدمات الطوارئإضعاف القدرة على الاستجابة للأزمات
تكنولوجيا المعلوماتتمثل الركيزة الأساسية لجميع القطاعات الأخرى
المرافق التجاريةاستهداف المواقع ذات التأثير الجماهيري الواسع

الفوارق الجوهرية بين الأنظمة التشغيلية (OT) وتكنولوجيا المعلومات (IT)

مبدأ تكنولوجيا المعلومات (IT): السرية > السلامة > التوفر
مبدأ الأنظمة التشغيلية (OT): السلامة (SAFETY) > التوفر > سلامة البيانات > السرية

في بيئة الـ OT، نادراً ما يتم تطبيق التحديثات البرمجية (Patching)، حيث تعمل الأجهزة لأكثر من 20 عاماً. إن إعادة تشغيل النظام لمدة 5 ثوانٍ قد تؤدي إلى إغلاق مصنع كامل. كما لا يمكن تثبيت برمجيات الاستجابة لرصد الأجهزة (EDR) على أجهزة الـ PLC (مثل Siemens S7). لهذا السبب، تعتبر شبكات الـ OT فريدة في ضعفها وحساسيتها تجاه الاختبارات غير المدروسة.

المعمارية الشبكية (نموذج بيردو - Purdue Model)

المستوى 5: المؤسسة (تكنولوجيا المعلومات المؤسسية، الإنترنت)
المستوى 4: إدارة الموقع
─── المنطقة المعزولة (DMZ) ───
المستوى 3: العمليات الموقعية (خوادم البيانات Historian، أنظمة MES)
المستوى 2: المستوى الإشرافي (واجهات HMI، أنظمة SCADA، محطات العمل الهندسية)
المستوى 1: أجهزة التحكم (PLC, RTU, IED)
المستوى 0: العملية المادية (المستشعرات، المشغلات الميكانيكية)

مسار المهاجم التقليدي: تصيد مستخدم في المستوى 5 ← التحرك الجانبي عبر الـ DMZ ← الوصول إلى محطة العمل الهندسية في المستوى 2 ← دفع منطق برمجيا (Logic) إلى أجهزة الـ PLC في المستوى 1.

استراتيجيات المهاجمين (Playbooks) - حالات موثقة

مجموعة Volt Typhoon (الصين، استهداف البنية الحرجة الأمريكية، 2021–الآن)

  • الوصول الأولي عبر ثغرات اليوم الواحد (1-days) في أجهزة Fortinet وراوترات SOHO، واستخدام KV-Botnet كموجهات لحركة المرور.
  • الاعتماد الكلي على تقنيات LOLBAS — دون ترك أي برمجيات ضارة على القرص.
  • الأهداف: مرافق المياه، عمليات الطاقة، الموانئ، والاتصالات. الهدف: التموضع المسبق للأزمات، وليس تسريب البيانات.

مجموعة Sandworm (روسيا، وحدة GRU 74455)

  • هجوم BlackEnergy (2015) على شبكة الكهرباء الأوكرانية: السيطرة على واجهات الـ HMI عبر بيانات VPN مسروقة، وفصل القواطع يدوياً، واستخدام ممسحة البيانات (KillDisk) لمحطات العمل، وتنفيذ هجوم حجب الخدمة الهاتفي (T-DoS) لإبطاء الاستجابة.
  • هجمات Industroyer / Industroyer2 (2016, 2022): استخدام بروتوكولات صناعية أصلية (IEC-101/104 و IEC-61850) لإصدار أوامر فتح القواطع مباشرة.
  • هجوم AcidRain (2022): برمجية ممسحة استهدفت أجهزة مودم Viasat KA-SAT قبل ساعات من الغزو الروسي.

مجموعة CyberAv3ngers (مرتبطة بإيران، 2023+)

  • استهداف أجهزة Unitronics Vision PLC في مرافق المياه. استغلال كلمة المرور الافتراضية 
    1111
    والمنفذ 20256 المكشوف على الإنترنت.
  • تشويه شاشات الـ HMI وإيقاف العمليات لفترة وجيزة.

منهجيات الاستطلاع والتقصي الفعال

# البحث عن أنظمة ICS المكشوفة على الإنترنت (وضع غير آمن)
$ shodan search 'product:"Siemens S7" country:"US"'
$ shodan search 'product:"Modbus" port:502'
$ shodan search 'org:"Target Util" "Rockwell"'
$ shodan search 'http.html:"Niagara Web Server"'      # أنظمة Tridium BMS
$ shodan search 'http.title:"Schneider Electric"'
$ 
# فحص البروتوكولات الأصلية (استكشاف بروتوكول Modbus بوضع القراءة فقط)
$ nmap --script modbus-discover -p 502 10.10.10.0/24
$ nmap --script s7-info -p 102 10.10.10.0/24

[!warning] لا تقم أبداً بالكتابة على أجهزة PLC نشطة يعد الاستكشاف بوضع القراءة فقط في البيئات المختبرية أمراً مقبولاً. أما كتابة الرموز الوظيفية (مثل Modbus 0x05, 0x06, 0x10) على أجهزة التحكم في بيئة الإنتاج فقد يؤدي إلى توقف المعدات، أو تسريب البخار، أو ما هو أسوأ. يجب أن يحدد نطاق اختبار اختراق الـ ICS الأجهزة المستهدفة، النافذة الزمنية، وأنظمة الأمان البديلة.

نقاط الضعف الشائعة (نتائج التقييمات المتكررة)

  • محطات العمل الهندسية مرتبطة بنطاق الشركة ولديها وصول كامل للإنترنت.
  • قنوات الدعم الفني عن بعد (مثل TeamViewer أو ConnectWise) التي تتجاوز منطقة الـ DMZ.
  • استخدام بيانات الاعتماد الافتراضية على واجهات الـ HMI وأجهزة الـ RTU.
  • غياب التقسيم الشبكي بين المستويين L2 و L3 — مما يسمح بالوصول المباشر من شبكة الـ IT إلى الـ OT.
  • قواعد بيانات الـ Historian (مثل PI أو Wonderware) تعمل على أنظمة ويندوز غير محدثة.
  • تشغيل برمجيات (Siemens TIA Portal, Rockwell FactoryTalk, GE iFix) بصلاحيات SYSTEM والثقة في المدير المحلي (Local Admin)، مما يعني السيطرة الكاملة على العملية الصناعية.

أولويات المدافعين (أهداف الأداء المشتركة من CISA)

أربعة إجراءات كفيلة بتقليل المخاطر بنسبة 80%
  1. حصر الأصول (Inventory) — توثيق كل PLC، وجهاز تحكم، واتصال مورد. لا يمكنك حماية ما لا تعرف وجوده.
  2. التقسيم الشبكي (Segmentation) — فرض حدود نموذج بيردو؛ ومنع الاتصال من الـ IT إلى الـ OT افتراضياً؛ واستخدام بوابات أحادية الاتجاه (Unidirectional Gateways) لنقل البيانات.
  3. تفعيل التحقق المتعدد (MFA) للوصول عن بعد — للدعم الفني، وVPN المهندسين، وخوادم القفز (Jump Hosts).
  4. النسخ الاحتياطي وخطة الاستجابة (IR) — اختبار استعادة أنظمة الـ OT، وتوفير إجراءات تشغيل يدوية، وتنفيذ تمارين المحاكاة (Red/Blue drills) سنوياً.

آليات الاكتشاف المقترحة

المصدرآلية الاكتشاف
اتصالات محطة العمل الهندسية الخارجةأي وجهة غير مدرجة في القائمة البيضاء للموردين
تسجيل الدخول لواجهات HMIاستخدام حسابات غير هندسية، في أوقات غير رسمية، أو عبر عدة مضيفين في ساعة واحدة
بروتوكولات ICS على شبكة ITرصد أي حركة مرور Modbus/S7/IEC-104 خارج نطاق الـ OT
مهام مجدولة جديدة على خادم البياناتإنذار منخفض الأهمية — خوادم الـ Historian نادراً ما تحتاج لمهام جديدة
تحميل Firmware أو إعدادات للـ PLCرصد بصمة أدوات الموردين خارج نوافذ التغيير المعتمدة

سيناريو محاكاة للتدريب (Tabletop Scenario)

نجح المهاجم في الحصول على صلاحيات مدير النطاق (Domain Admin) في شبكة الـ IT المؤسسية منذ ثلاثة أشهر. تم تحديد محطة العمل الهندسية عبر استعلامات WMI، وحصد البيانات المخزنة، والتحرك عبر نقطة نهاية JEA. اليوم، لاحظ مشغل الـ HMI أن المضخات تعمل بدورات غير مجدولة.

تتبع هذا السيناريو في بيئتك: أين عبر المهاجم حدود الـ IT/OT لأول مرة؟ من هو الشخص المسؤول عن اكتشاف هذا التغيير؟ من يملك الصلاحية لإيقاف العملية؟ وكم من الوقت سيستغرق التحول للتشغيل اليدوي؟ إذا لم تكن الإجابة بالدقائق، فإن خطة الاستجابة لديك تحتاج إلى تطوير.

السابق
تكتيكات المهاجمين المدعومين من الدول
التالي
الأمن العملياتي للمهاجم — التخفّي والتمويه