بدافزار «چاپلین» حاوی اطلاعات «RTTI» بوده است که محققان از طریق آن توانسته‌اند اطلاعات بیشتری راجع به نوع حمله کسب کنند. RTTI، تعیین کننده هویت نوع اجراست که به محققان امکان می دهد نوع دقیق یک رویداد را پیدا کنند. با استفاده از روش ذکر شده محققان دریافته‌اند که بد افزار چاپلین با جدا کردن آداپتورهای شبکه، خارج کردن کاربر و اجرای یک رشته کد از قبل آماده شده فعالیت خود را آغاز کرده است.

این رشته کد مانع تعامل مسئولان امنیتی سامانه با رایانه شده است و دسترسی آن‌ها به رایانه‌ها و شبکه مسدود کرده است. این بدافزار در ادامه با حذف کردن کلید رجیستری «Lsa» مانع «بوت شدن» سیستم شده تا بتواند عملیات خود را ادامه دهد. به این ترتیب مهاجمان موفق شدند تا در سه مرحله بدافزار را اجرا و دسترسی کارکنان شرکت به شبکه را مسدود کنند.

طبق تحقیقات موسسه چک پوینت، احتمالا گروه هکری «گنجشک درنده» که مسئولیت حمله به صنایع فولاد را پذیرفته، از ابزارهای توسعه داده شده توسط گروه «ایندرا» بهره برده است. گروه ایندرا برای اولین بار در سال ۲۰۱۹ ظاهر شد و تا به حال مسئولیت مجموعه‌ای از حملات علیه شرکت‌های مرتبط با جمهوری اسلامی ایران و حزب‌الله لبنان را برعهده گرفته است.

نفوذ اولیه به سیستم‌های صنایع فولاد از چه طریقی بوده است؟

با توجه به تصویری که هکرها از سامانه کنترل کننده فولاد خوزستان منتشرکرده‌اند، برخی از کارشناسان اعتقاد دارند که دسترسی اولیه هکرها به سیستم‌های فولاد خوزستان از طریق نقص‌های امنیتی موجود در نرم افزار «ایریسا» انجام شده است. شرکت ایریسا در زمینه ارائه خدمات اتوماسیون صنعتی و سيستم‌های اطلاعاتی فعالیت می‌کند.

این شرکت که ادعا دارد با هدف «جلوگيری از خروج ارز با گسترش دانش کسب شده» فعالیت می‌کند، از ابزارهایی استفاده می‌کند که برخی از آنها از سال ۲۰۱۷ به روز رسانی نشده‌اند. با مراجعه به وب‌سایت این شرکت می‌توان دریافت که علاوه بر کل صنایع فولاد ایران؛ پتروشیمی شیراز، شرکت توزیع برق اصفهان، شرکت مخابرات ایران و برخی نهادهای دیگر از خدمات این شرکت استفاده می‌کنند که با توجه به نقص‌های امنیتی و استفاده این شرکت از ابزارهای منسوخ شده، می‌توان انتظار داشت دیگر مشتریان ذکر شده ایریسا اهداف بعدی هکرها باشند.

حتی جستجوها بیانگر آن است که این شرکت از ابزارهای اصل استفاده نمی‌کند و از نسخه‌های «کرک شده» بهره می‌برد. پایگاه «سرتفا» که در زمینه امنیت سایبری و حریم خصوصی فعالیت می‌کند، در مورد نرم افزار کنترل کننده صنعتی VMware Horizon که این شرکت استفاده می‌کند، عنوان کرده است که « به احتمال بسیار زیاد شرکت ایریسا از نسخه کرک شده ۱۷.۳.۳۳.۲۷۵۳ که در وب‌سایت‌های ایرانی منتشر می‌شه، استفاده می‌کرده.»

در حالی که هر سال به چندین نهاد مختلف از جمله ستاد کل نیروهای مسلح، ناجا و وزارت ارتباطات برای مقابله با تهدیدهای سایبری بودجه اختصاص داده می‌شود، آمار حمله به زیرساخت‌های دولتی به طور چشمگیری افزایش یافته است.

حکومت ایران بر روی راه اندازی سیستم‌های داخلی و جداسازی آنها از اینترنت به منظور مقابله با حملات سایبری تمرکز دارد، غافل از آنکه استفاده از ابزارهای کارآمد، به‌روز و امن و بهره بردن از نیروهای متخصص درجه اهمیت بالاتری دارد. برای نمونه در جریان هک شهرداری تهران، هکرها فهرستی از مشخصات سرورهای شهرداری را منتشر کردند که با بررسی مشخصات فنی سرورهای شهرداری تهران مشخص شد تعداد زیادی از سیستم‌ها برای مدت طولانی به‌روز‌رسانی نشده بودند. در میان سرورهای شهرداری تهران، تعداد زیادی سرور VMware ۵.۵ به چشم می‌خورد که از سال ۲۰۱۸ پشتیبانی از آن سرویس متوقف شده‌ است، یا در نمونه‌ای دیگر در هک شهرداری حتی از وب‌سایت شهرداری نسخه پشتیبان تهیه نشده بود و برای راه اندازی مجدد وب‌سایت شهرداری از نسخه‌های بایگانی شده وب‌سایت «archive» کمک گرفته شد.