דוח אבטחת SCADA: עליית מדרגה במתקפות

מערכות בקרה תעשייתיות (Industrial Control Systems), הידועות גם בכינוי מערכות SCADA, הן מערכות ממוחשבות אשר מבקרות ומפקחות על תהליכים פיזיים כמו הולכת חשמל, שינוע של גז ושמן דרך הצינורות, אספקת מים, הפעלת רמזורים ומערכות אחרות המשמשות כבסיס של החברה המודרנית.

בשנים האחרונות נמצאות מערכות הבקרה הללו – שבהן תלויות מרבית התשתיות הקריטיות ותעשיית הייצור שלנו – נתונות תחת התקפות סייבר מתוחכמות באופן תדיר. אחת הסיבות לכך היא ההתלכדות (convergence) הבלתי נמנעת של הטכנולוגיה התפעולית (OT) יחד עם טכנולוגית המידע (IT) – המכונות מתחברות למערכות המידע. בדומה לכל תחומי המחשוב האחרים, היתרונות בחיבור רשת מהירה באמצעות תקנים פתוחים כמו האתרנט ו-TPC/IP, יחד עם החיסכון בעלויות הנובע מהחלפת ציוד תפעולי ישן במערכות חדישות המשלבות חומרה ותוכנה עם ניטור ובקרה טובים יותר – מגיעים במחיר של נקודות תורפה רבות יותר.

בזמן שההשפעה של פרצת אבטחה על רוב מערכות ה-IT מסתכמת לרוב בהפסד כספי, התקפות על מערכות בקרה תעשייתיות הן בעלות פוטנציאל רב יותר להרוס ציוד הכרחי, לאיים על הביטחון הלאומי ואפילו לסכן חיים של בני אדם.

הבחנה מהותית זו מביאה עמה גם את ההבדל המטריד בפרופיל ובמניעים של התוקפים הפוטנציאליים. בעוד שרוב פושעי הסייבר המודרניים מונעים על ידי תגמול כספי, קיימים גם מניעים נוספים לפעולותיהם. אספנו עבורכם מספר התקפות מרכזיות שהתרחשו בשנת 2015 כדי לנסות ולאמוד את הסיבות שעומדות מאחורי תקיפת ה-ICS:

אוקראינה: הפסקת החשמל הראשונה שנגרמה על ידי האקרים

ב-23 בדצמבר 2015, 57 תחנות כוח במערב אוקראינה הפסיקו לעבוד וכתוצאה מכך הפסקות חשמל רבות התרחשו באזור. בתחילה, התייחסו להפסקת חשמל זו כ"התערבות" במערכת הניטור על ידי אחת מחברות הכוח שהושפעו מהמעשה, אך מאוחר יותר התקבל אישור לפיו הסיבה להפסקת החשמל הייתה "התקפת האקרים" על מערכות ה-ICS. הסיבה להפסקות החשמל אושרה על ידי המרכז האוקראיני הלאומי להתמודדות עם איומי סייבר (CERT) ב-4 בינואר 2016, וזוהי, ככל הנראה, "הפסקת החשמל המוכחת הראשונה שנגרמה כתוצאה מהתקפת סייבר".

ההתקפה בוצעה בצורה מתוחכמת ומתוכננת היטב והייתה מורכבת מ-3 שלבים: 1. הדבקת המערכות באמצעות מיילים של ספיר-פישינג עם קבצים מצורפים אשר הכילו סדרה של הוראות זדוניות. 2. השתלטות ומניעת התאוששות על ידי מחיקת קבצי מערכת ממערכות הבקרה. 3. הפצת התקפות DDoS המתמקדות במרכזי שירות לקוחות שונים של חברות הכוח על ידי שימוש במטח שיחות מזויפות אשר נועדו כדי להשהות את יכולת החברה לגלות על עצם קיום הבעיה. הנוזקה שבה נעשה שימוש בהתקפות הללו קשורה כפי הנראה למשפחת נוזקות ה-BlackEnergy הידועות מאז שנת 2007. גרסאות של BlackEnergy נמצאו אוספות מידע על תשתית ה-SCADA בשנת 2014.

ארצות הברית: אישור על התקפות ICS שנועדו לאסוף מידע

בחודש דצמבר 2015, התקבלו שני דיווחים על התקפות ICS בארצות הברית, אשר נועדו לצרכי איסוף מידע, כלומר, התקפות שבוצעו במטרה לאסוף מודיעין ולא לצורך גרימת נזק. אושר כי האקרים איראניים עמדו מאחורי ההתקפה. הדיווח הראשון אישר התקפה קודמת על סכר Bowman Avenue בניו יורק בשנת 2013. הסכר עצמו לא נפגע והתגלה כי ההתקפה התמקדה באיסוף מידע ומחקרים אודות המכונות שנדבקו וייתכן שהדבר בוצע על מנת לאסוף מידע ממוקד.

בדומה למקרה זה, בדיקתו של מחשב השייך ל-Calpine, "תחנת הכוח הגדולה ביותר באמריקה המונעת על ידי גז טבעי ומשאבים גיאותרמיים", חשף כי הוא נפרץ ואיפשר לתוקפים לגנוב מידע מהארגון. המידע הגנוב נמצא על אחד משרתי ה-FTP של התוקפים שהיה מקושר באמצעות המערכות הנגועות. המידע הגנוב כלל שמות משתמשים וסיסמאות שבעזרתם ניתן היה להתחבר לרשתות של Calpine, ושרטוטים הנדסיים מפורטים של רשתות ושל 71 תחנות כוח ברחבי ארצות הברית.

 

במחתרת מציעים מערכות SCADA פרוצות במבצע

פוסטים בפורומים שונים באינטרנט אשר מציעים למכירה מערכות SCADA פרוצות, נמצאו בפורומים מחתרתיים, המלווים בצילום מסך של המערכת שנפרצה ואפילו שלוש כתובות IP צרפתיות וסיסמאות VNC. האותנטיות של הפרטים הללו לא אושרה. ולמרות זאת, הדבר מציג את האפשרות הריאלית של מערכות SCADA פרוצות מוכנות לשימוש, אשר הופכות למצרך נוסף שניתן לקנות בקלות במחתרת.

דוגמאות אלו מייצגות רק שלושה מקרים מתוך מקרים רבים נוספים. לפי העיתון ICS-CERT, 295 תקריות דווחו ל-ICS-CERT בשנה הכספית 2015. המספר הרב ביותר של התקריות המדווחות (97.33%) כוונו כנגד תשתיות ייצור קריטיות, כאשר הבא בתור היה מגזר האנרגיה (46.16%). הגידול בהתקפות על מערכות תשתיות ייצור בהשוואה לשנת 2014 יוחס לקמפיין ספיר-פישינג נרחב שהתמקד בעיקר בחברות במגזר האמור, יחד עם מטרות ספציפיות במגזרים אחרים.

אחד האתגרים המרכזיים עבור ארגונים באבטחת ה-ICS הוא התחכום של פושעי הסייבר כיום. אתגר נוסף הוא לייצר תקנות ונהלים מסודרים עבור מערכות ממוקדות-תעשייה. רוב מערכות הבקרה התעשייתיות מגיעות מספקים שונים ומריצות תוכנות הפעלה ייעודיות שונות, יישומים ופרוטוקולים (GE, Rockwell, DNP3, Modbus) השייכים להם. כתוצאה מכך, מערכות אבטחה שפותחו עבור מערכות מידע אינן מגינות על מערכות בקרה תעשייתיות. אם אתם שייכים לארגון בו פועלות מערכות ICS, ישנן מספר המלצות אבטחה כדי למנוע מהשם שלכם להתנוסס בכל הכותרות בעיתונים וברחבי האינטרנט. לפניכם מספר המלצות:

היזהרו ממיילים של פישינג: משכנע ככל שיכול להיראות – מייל הפישינג עלול להיות מסוכן מאוד. תוכנת אנטי וירוס טובה תוכל להוסיף שכבת אבטחה נוספת ותזהיר מפני קבצים זדוניים מצורפים. למעשה, נמצא כי נעשה שימוש במיילים של ספיר-פישינג בכל ההתקפות למיניהן, והטכניקה הפכה לפופולרית לא רק בעולם הארגוני, אלא גם בעולם ה-ICS. אם נתייחס לתקרית רלוונטית, התקפת ספיר-פישינג אשר דווחה ל-ICS-CERT עירבה תוקפים אשר עשו שימוש בחשבון ברשת החברתית כדי להעלות פוסט עם מועמד פוטנציאלי למשרה מסוימת. על ידי שימוש בחשבון זה, התוקפים הצליחו לאסוף מידע כמו שם מנהל ה-IT של החברה וגרסאות של התוכנה הנוכחית הפועלת, וכל זה באמצעות העובדים של בעל נכס התשתית הקריטי. כתוצאה מכך, נשלח מייל לעובדים עם קורות החיים של המועמד האמור כקובץ שנקרא 'קורות חיים.rar'. הקובץ המצורף הכיל נוזקה אשר הדביקה ביעילות את המערכת של העובדים, אך נמנעה מהפצה או הדבקה של מערכות בקרה.

לוגינג וסריקת רשת קבועה: לוגים זוהי דרך יעילה לניטור פעילותן של מערכות והם עוזרים להרכיב ביחד את החלקים החסרים של הפאזל במקרה של תקרית כלשהי. כמו כן, הם משמשים כגלאים מוקדמים של הדבקה. זוהי הסיבה שתחזוקת לוגים מומלצת מאוד למנהלי מערכות. סריקת רשת קבועה היא צורת אבטחה נוספת אשר משמשת כגלאי מוקדם של הדבקה, אם קיים. החדשות הטובות בתחום סריקת הנוזקות הן כי בשנים האחרונות הבעיות ונקודות התורפה האינהרנטיות של ה-ICS הפכו לנפוצות יותר, והצעדים הראשונים כדי לתקן אותן כבר ננקטו.

סיוע מגופים ממשלתיים: דרך אחת שבה הדבר אפשרי היא באמצעות העזרה של גופים ממשלתיים, כמו ה-ICS-CERT בארצות הברית והמרכז להגנת התשתית הלאומית (CPNI) בבריטניה, אשר מפרסמים עצות ומדריכים על הדרכים הטובות ביותר להגן על ה-ICS.

עבודה על פי תקנים: דרך נוספת היא באמצעות ההגדרה של תקנים נפוצים כמו ISA/IEC-62443 (לשעבר ISA-99). תקן זה נוצר על ידי החברה הבינלאומית לאוטומציה (ISA) כ-ISA-99 ובהמשך מוספר מחדש כ-62443 כדי להתיישר בקו אחד עם התקנים של הועדה האלקטרו-טכנית הבינלאומית (IEC). המסמכים הללו מתווים מסגרת מקיפה עבור העיצוב, התכנון, השילוב והניהול שלICS מאובטח.