כרוניקה של סיכונים במערכות ה-SCADA

למרות הבאזז שנוצר בתחום האפשרויות לתקוף מערכות SCADA, המודעות לגבי הסכנות והסיכונים אשר עלולים להתרחש בעקבות התקפה על מערכות אלו נמוכה הן בעולם והן בישראל. הקשר בין עולם המחשבים והאינטרנט לבין מכונות תעשייתיות המבצעות פעולות מכניות, נראה גם לעוסקים בתחום כלא קיים. כמה זמן האיומים על מערכות ה-SCADA כבר קיימים? מהם האמצעים המשמשים את פושעי הסייבר כדי להתמקד במערכות תעשייתיות? מהן ההשלכות של ההתקפות? רוקנה ניגאם, חוקר אבטחה במעבדות FortiGuard של פורטינט, סוקר את התחום.

מהן מערכות SCADA?

SCADA (Supervisory Control and Data Acquisition) הוא מונח המתאר מערכות המשמשות כדי לפקח על ציוד חומרי. השימוש במערכות אלה נפוץ ביישומים תעשייתיים רבים, למשל, כדי להניע טורבינות, צינורות נפט וגז בתחנות כוח; במתקנים ציבוריים כמו גלאי מתכות בשדות תעופה; ואפילו במתקנים פרטיים, למשל, כדי לשלוט או לנטר תהליכים כמו חימום, אוורור וצריכת אנרגיה. העובדה כי התקפה על מערכת כזו יכולה לעיתים להסתיים בנזק פיזי משמעותי הופכת את מערכות SCADA למטרה מושכת עבור האקרים.

קיימות מספר התקפות משמעותיות ידועות שהתמקדו במערכות SCADA לאורך השנים, הממוינות לשלוש קטגוריות:

 

• התקפות שלא אומתו

1982: ייתכן כי התקפת ה-SCADA הראשונה התרחשה כבר בשנת 1982. לפי אוסף מסמכים בשם "Farewell Dossier" ("תיק הפרידה"), סוכנות ה-CIA האמריקנית הייתה מעורבת במכירה של מוצרים וציוד 'שעברו שינויים' לברית המועצות. סוס טרויאני הוסף לציוד והוביל לפיצוץ בצינור הגז הטרנס-סיבירי. הדבר לא אומת מעולם בצורה רשמית ב"תיק הפרידה" המדובר, אשר צוינה בו רק ההתקנה של טורבינות פגומות, אך לא התקרית עצמה.

1999: נפוצו דיווחים אודות התקפה בגזפרום (Gazprom), תאגיד הנפט של רוסיה, היכן שסוס טרויאני הותקן על מערכת הצינורות שלהם, בסיוע של מישהו מבפנים. לפי הדיווחים, ההתקפה שיבשה את השליטה על זרימת הגז למשך מספר שעות, אך הדבר מעולם לא אושר על ידי חברת גזפרום.

• יעדים לא מכוונים

מספר מערכות SCADA הותקפו על ידי ווירוסים שלא כוונו ספציפית אליהם, אך מצאו אותן במקרה.

2004: חברות תעבורה כמו British Airways, Railcorp ו-Delta Airlines נפגעו מתולעת ה-Sasser, אשר ניצלה את הפגיעות של עודף מנגנון זיכרון זמני כדי להתרבות למערכות פגיעות נוספות. ייתכן כי מספר גרסאות תוקפניות גרמו לצפיפות ברשת. תולעת זו גרמה לעיכובים ברכבות ובטיסות וביטולי טיסות בחלק מהמקרים.

2009: הצי הצרפתי נפל קורבן לתולעת ה-Conficker. התולעת ניצלה רגישות של Windows או ניחשה סיסמאות מנהל כדי להתקין את עצמה. לאחר מכן, התולעת הייתה יכולה לעבור למכונות אחרות בעלות רגישות, לעדכן אותן, ולאחר מכן להוריד ולהתקין נוזקות נוספות. תולעת זו גרמה לכישלון בהורדת תוכניות טיסה אשר הובילו לכלי טיס מקורקעים.

• התקפות ממוקדות שאומתו

2009: חברות נפט, גז ופטרוכימיה כמו Exxon, Shell, BP ורבות אחרות נפגעו על ידי ווירוס ה-Night Dragon, שהופץ על ידי שימוש בהונאת spear phishing באמצעות הדואר האלקטרוני. הווירוס איפשר להאקרים לשלוט במחשבים המודבקים מרחוק. לא דווח על נזק חומרי, אם כי דווח כי התוקפים גרמו לסגירת תכניות שהיו מיועדות לשימוש עבור מערכות SCADA ואף אספו מידע.

2010: Stuxnet תולעת מחשב שנמצאה מרגלת ומתכנתת מחדש מערכות תעשייתיות במתקן הגרעין Natanz באיראן. הווירוס יירט ושינה נתונים בבקר בר-תכנות (PLC) והשמיד חמישית מהצנטריפוגות הגרעיניות של איראן.

2014: לפי הדיווח של המשרד הגרמני הפדרלי לאבטחת מידע (BSI), התקפה ממוקדת על רשת המחשבים של בית חרושת גרמני לברזל התרחשה בשנת 2014 והנזק כתוצאה מכך היה עצום. התוקפים השתמשו ב-spear phishing ובתכנון חברתי מתוחכם כדי לקבל גישה לרשת המשרדית של בית החרושת, אשר הובילה אותם אל רשת הייצור. הדוח מתאר את המיומנויות הטכניות של ההאקרים כ'מתקדמות ביותר', עם התמחות לא רק באבטחת IT מסורתית, אך גם בידע טכני מפורט ורחב של מערכות ניהול תעשייתיות (ICS) ושל תהליכי הייצור. למרות שפרטי הנוזקה עצמה מעורפלים, הדוח קובע כי ההתקפה הובילה להתמוטטות של מרכיבי בקרה מסוימים, ודבר זה הוביל להשבתה בלתי מבוקרת של כבשן מפוצץ, אשר הותירה אותו במצב בלתי מוגדר ובנזק מסיבי.

ההתקפות עדיין לא שכיחות

לסיכום, בהתבסס על המקרים שפורטו כאן, ההתקפות רחוקות מלהפוך לשכיחות. הסיבה? ההתקפות המתוחכמות הללו דורשות לא רק מיומנות טכנית מתקדמת וידע אודות התשתית המותקפת, אלא גם משאבים כספיים משמעותיים, שלא קיימים בהישג ידם של פושעי הסייבר. מהתבוננות בצורת ההתפתחות של פשיעת הסייבר, ניתן לצפות כי התקפות הרסניות שכאלו יגדלו וירמזו על הצורך של החברות להתחיל להתכונן אליהן. גם הנזק החומרי ברוב המקרים עדיין לא גדול וההתמקדות של המתקפות עד כה היה בעיקר בגניבת מידע וריגול. מלבד המקרים של ה-Stuxnet והווירוס אשר יירט את בית החרושת הגרמני לברזל, אף התקפה אחרת לא הצליחה לגרום להרס פיזי.