סוס טרויאני תוצרת רוסיה
הממשל האמריקני יוצא נגד מכון המחקר הרוסי, מאשים את רוסיה בתקיפות סייבר למטרות פגיעה בחיי אדם ומאיים בסנקציות
לאחרונה הודיע משרד האוצר האמריקני על נקיטת סנקציות נגד המכון המרכזי למחקר מדעי לכימיה ומכניקה (TsNIIKhM) של מרכז המחקר הממלכתי הרוסי (FGUP), שזוהה על ידי הממשל האמריקני כאחראי על מתקפת הסייבר כנגד מערכות בטיחות של מפעלים פטרוכימיים במזרח התיכון ב-2017 וב-2019. מתקפות אלו, שכונו בשם טריטון וטריסיס (TRITON/TRISIS), תכנתו מחדש את מערכות הבטיחות במפעלים על מנת לגרום לאירועי סייבר במפעלים פטרוכימיים. "אירוע סייבר" נשמע מושג ערטילאי, אך האמת היא, שחבלה במערכות בטיחות משמעותה פגיעה מכוונת בחיי אדם. למרבה המזל, נראה כי אף אחת מהמתקפות לא גרמה לנפגעים. ב-2017 התוקפים עשו טעויות, שגרמו למתקן להיסגר, והחבלה נחשפה. לגבי המתקפה ב-2019, הפרטים טרם פורסמו.
מתקפות הטריטון מופעלות בגישה מרחוק, כאשר התוקפים בדרך כלל מקבלים דריסת רגל ברשת הארגונית על ידי גניבת סיסמאות באמצעות "פישינג" או שליחת קבצים זדוניים בדוא"ל, והתקנת סוס טרויאני לגישה מרחוק (Remote Access Trojan – RAT). הם משתמשים ב-RAT כדי לשתול RAT נוספים במקומות אחרים בארגון, מאתרים סיסמאות ומידע על חשבונות, ואז משתמשים במידע זה בשנית כדי להרחיב את טווח ההגעה למחשבים אחרים, ובסופו של דבר להגיע דרך חומות האש לרשתות התעשייתיות. לאחר שמתחברים לעומק מערכות הבקרה, הם יכולים לתכנת את בקרי מערכות הבטיחות מחדש, ולחבל במערכות הבטיחות והבקרה של מפעלים אלה.
החדשות הרעות הן, שטכניקות התקיפה האלה אינן ייחודיות לטריטון. התוקפים העומדים מאחורי תוכנות כופר ממוקדות משתמשים בסוס טרויאני לגישה מרחוק כדי לחפור עמוק ברשת במטרה לשתול את תוכנות הכופר שלהם בכל הרשתות, שלדעתם הן החשובות ביותר בתוך ארגון/מפעל יעד ספציפי.
כיצד להגן על אתרי ומפעלי תעשייה?
חשוב להבין, שהאתרים הפטרוכימיים שעליהם מתוכננות המתקפות הללו הם בוודאי לא יעדים "קלים". מפעלים פטרוכימיים גדולים זוכים להגנת סייבר מאסיבית ומשמעותית, הכוללת חומות אש, הצפנה, מערכות נגד תוכנות זדוניות, איתור פריצות, ניטור אבטחה והגנות תוכנה אחרות. אך למרות הכל, התקפות ממוקדות כמו טריטון ותוכנות כופר ממוקדות מביסות באופן שגרתי את הגנות התוכנה הללו. מתברר, שאלה הן שכבות אבטחה ותוכנות ניטור, שאין בהן די כדי להגן על יעדים חשובים מפני התקפות מודרניות.
דווקא בישראל הבינו את הסכנות במתקפות מסוג זה, ובתחילת 2020 פרסמו תקנות חדשות להגנת סייבר למתקנים המטפלים בכימיקלים ובחומרים מסוכנים אחרים. האיום הנרחב של מתקפות ממוקדות הנשלטות מרחוק הוא אחת הסיבות המשמעותיות לתקנות החדשות. בין השאר, הכללים החדשים דורשים הגנה באמצעות שערים חד-כיווניים (Unidirectional Gateways) על רשתות של מערכת בקרה חשובות – הגנה, החסינה בפני מתקפות המתבססות על גישה מרחוק. שערים חד-כיווניים אלו הם החיבור היחיד בין רשתות הבקרה התעשייתיות לכל רשת חיצונית. חומרת השער מסוגלת פיזית לשלוח מידע ונתונים בכיוון אחד בלבד – מהרשת התעשייתית החוצה, לרשת ארגונית או לרשת חיצונית אחרת. חומרת השער אינה מסוגלת פיזית לשלוח פקודות להתקפה מרחוק, סיסמאות, כרטיסים או מידע התקפי אחר בחזרה לרשתות תעשייתיות מוגנות.
ישראל נמצאת בחוד החנית של הגנה על תשתיות קריטיות, בין השאר בעקבות דרישותיה הברורות והעקביות לשימוש במוצרים מסוג זה, אבל לפני שנטפח לעצמנו על השכם, כדאי לזכור, שמדובר אך ורק בתעשיית החומרים המסוכנים; מה לגבי תעשיות אחרות? תעשיות, שעל פניו נראות תמימות ולא מסוכנות, אבל בידיהם של תוקפי סייבר מסוימים הן עלולות להפוך לאיום ממשי. מפעלי ייצור של מזון ותרופות, למשל, זקוקים בדחיפות לתקנות סייבר חדשות ומחייבות מצד המדינה. גם אצלם נדרשת הגנה מניעתית מהסוג שנקבעה עבור המפעלים הפטרוכימיים.
לסיכום, כאשר הממשל האמריקאי יוצא בהצהרה רשמית כנגד מכון מחקר רוסי ואף מאשים אותם בפומבי בתקיפות הסייבר שהוזכרו לעיל, הרי שאנו עדים כאן להחרפה נוספת בין שתי המדינות, ובין שני הממשלים. בפועל, על האזרחים האמריקנים נאסר כעת ליצור קשרים או להיות מעורבים בשום צורה במכון המחקר הרוסי. בנוסף, בממשל האמריקאי מאיימים שכל אדם אחר, אף שאינו אזרח אמריקני, עלול להיות גם הוא חשוף לסנקציות.
הכותב הוא מנכ"ל ומייסד שותף, Waterfall Security Solutions.
תגובות
(0)