התפתחות איומי סייבר בסביבות OT בעשור שחלף מאז גילוי סטוקסנט

חלק א'*

השנה אנו מציינים עשור לגילוי של סטוקסנט (Stuxnet). תולעת המחשב הזדונית עלתה לכותרות כאשר התמקדה במערכות פיקוח, שליטה ואיסוף נתונים (SCADA). הקוד של סטוקסנט, קוד גדול ומתוחכם במיוחד אשר שקל מעל ל-500 ק"ב, הצליח להגיע למכונות ולרשתות של Windows ושכפל את עצמו מספר פעמים לפני שהוא חיפש תוכנה נוספת. הקוד התמקד בבקרים לוגיים מתוכנתים (PLCs), אשר מאפשרים אוטומציה של תהליכים אלקטרומגנטיים, כמו מכונות או תהליכים תעשייתיים.  

מאז הגילוי של סטוקסנט, התרחשו מקרים רבים של מתקפות סייבר מתוחכמות באותה המידה על מערכות של תשתית תפעולית (OT) ברחבי העולם. אחת הסיבות לכך היא העובדה כי רשתות OT הופכות כיום למחוברות יותר לאינטרנט, וכתוצאה מכך, גם לפגיעות יותר למתקפות של פושעי סייבר, מדינות והאקרים. דו"ח של פורטינט (Fortinet) המדבר על OT ואבטחת סייבר מצא כי 74% מארגוני ה-OT חוו פרצה שמקורה בתוכנה זדונית ב-12 החודשים האחרונים, אשר גרמה לנזקים בתפעול המערכות השונות, רווחים, מוניטין הארגון, קניין רוחני ובטיחות פיזית.

עשור של מתקפות סייבר משמעותיות על סביבות OT ומערכות בקרה תעשייתיות

ביצוע הערכה של מתקפות הסייבר המשמעותיות ביותר על מערכות בקרה תעשייתיות (ICS) במהלך העשור האחרון מאפשר לנו לראות עד כמה רחוק התקדמו הגורמים העוינים ביכולות הטכנולוגיות שלהם. מה שאף יותר מטריד מכך, זו הנחישות שלהם לגרום לנזק לא רק לתשתיות דיגיטליות, אלא גם לתשתיות פיזיות – גם אם הדבר משפיע על בטיחות העובדים והציבור כולו. סטוקסנט היא אולי אחת מהראשונות בסדרה של מתקפות זדוניות על מערכות בקרה תעשייתיות, אשר האירו את עיניהם של ארגונים ברחבי העולם באשר להיקף ולהשפעה של מתקפות סייבר על העולם הפיזי. 

אולי אחת מהראשונות בסדרה של מתקפות זדוניות על מערכות בקרה תעשייתיות. סטוקסנט. אילוסטרציה: BigStock

העלייה באיומים ומתקפות חדשים וחדשות שינתה באופן קיצוני את הדרך שבה מערכות ICS ו-SCADA מתפקדות. לפניכם סיכום של כמה ממתקפות הסייבר המשמעותיות ביותר אשר התמקדו ב-ICS במהלך העשור האחרון והשפעתן על אסטרטגיות אבטחה עדכניות של תשתיות קריטיות.

Duqu – 2011: חוקרי אבטחת סייבר הונגרים איתרו תוכנה זדונית אשר זוהתה כ-Duqu והייתה דומה מאוד ל-Stuxnet במבנה ובעיצוב שלה. Duqu תוכננה לגנוב מידע על ידי הסוואה של תמסורת נתונים כתעבורת HTTP רגילה והעברה של קבצי JPG מזויפים. המסקנה העיקרית מהאיתור של Duqu הייתה הבנת החשיבות של פעילות מודיעין של גורמים עוינים כחלק ממתקפת סייבר, כאשר קוד המיועד לגניבת מידע הוא לרוב איום הסייבר הראשון אשר מופעל בסדרה מתוכננת של מתקפות נוספות.

Havex – 2013: תוכנה זדונית של סוס טרויאני בעל גישה מרחוק (RAT) ששמה Havex, אשר התגלתה לראשונה בשנת 2013. תוכנה זדונית זו מקושרת לקבוצת האיום הנקראת GRIZZLY STEPPE והיא התמקדה במערכות ICS ותקשורת עם שרת C2 אשר יכול לפרוס יישומים ייעודיים מודולריים.  

יישום ה-ICS הייעודי הספציפי שלה אסף מידע משרתים של פלטפורמת תקשורת פתוחה (OPC), כולל CLSID, שם השרת, תכנית ID, גרסת OPC, מידע על הספק, מצב הפעלה, group count ורוחב פס השרת – והיה מסוגל גם לספור תגי OPC. באמצעות תקשורת עם תשתית ה-C2, המתקפה של התוכנה הזדונית הייתה משמעותית עקב היכולת שלה לשלוח הנחיות אשר מספקות יכולות משופרות ולא ידועות לתוכנה הזדונית. 

BlackEnergy – 2015: בשנה זו התגלה כי התוכנה הזדונית BlackEnergy שימשה כדי לנצל פגיעויות בסדרת הוראות (macros) במסמכי Microsoft Excel. התוכנה הזדונית נכנסה לרשת באמצעות מיילים של spear phishing, אשר נשלחו לעובדים. בעוד שהשיטות אשר יושמו על ידי תוקפים אלו היו לא מתוחכמות יחסית, האירוע הוכיח כי פושעי הסייבר יכולים לתמרן תשתית קריטית בקנה מידה גדול. 

TRITON – 2017: התוכנה הזדונית TRITON אותרה בשנת 2017 והתמקדה במערכות בטיחות תעשייתיות. באופן ספציפי, התוכנה התמקדה במערכות ניהול בטיחות (SIS) ושינתה את הקוד בקושחה בזיכרון, כדי להוסיף פונקציונליות זדונית. דבר זה אפשר לתוקף לקרוא או לשנות תוכן אשר נמצא בזיכרון ולהטמיע קוד מותאם אישית – יחד עם יישום נוסף כדי להשבית, לעכב או לשנות את היכולת של התהליך התעשייתי או לגרום נזק לאבטחה. TRITON היא התוכנה הזדונית הראשונה המוכרת אשר תוכננה כדי לתקוף את הבטיחות של המערכות התעשייתיות אשר מגינות על חיי בני אדם.

*החלק הבא של המאמר יפורסם ביום ד' בשבוע הבא, ויעסוק בשאלה כיצד מתמודדים עם אתגרי האבטחה של מערכות ICS ו-SCADA

הכותב הוא חוקר בכיר ומומחה לאבטחת סייבר במעבדות FortiGuard, גוף המחקר של פורטינט