ענקית עיבוד אלומיניום עולמית הותקפה בכופרה חדשה

נורסק הידרו, ענקית עיבוד האלומיניום עולמית, הותקפה בסייבר על ידי כופרה חדשה.

המתקפה הסבה לחברה שיבושים. בתגובה, נאלצו אנשי ה-IT בחברה לנתק מהרשת חלק ממסגרות הייצור שלה, ואף להשבית כמה מערכים אחרים – מפעלי עיבוד המשמשים להכנתם של חומרי גלם עבור התעשיות השונות.

החברה חוותה השבוע מתקפת סייבר של LockerGoga. המדובר בכופרה הנמצאת בשימוש מאז ינואר 2019 וכבר הופעלה כנגד כמה ארגונים ויעדים במסגרת התקפות ממוקדות. התוכנה שבה משמשת רק לצורך הצפנה של קבצים מסוימים בדיסק הקשיח של הקורבן, ואין לה מנגנונים אוטומטיים לתנועה רוחבית בארגון או לתקשורת. הקורבנות מתבקשים ליצור קשר עם התוקפים באמצעות אחת משתי כתובות דואר אלקטרוני המופיעות בהודעת ההצפנה.

ההאקרים שביצעו את מתקפת הכופרה תוקפים מחשבים ברשתות של ישויות ספציפיות, שהן מטרות בעלות ערך גבוה. הם חודרים לרשתות במטרה להשיג הרשאות פעולה מלאות. ברגע שאלו הושגו, הם מפיצים את הכופרה LockerGoga אל כל משאבי הרשת – תחנות עבודה ושרתים – באמצעות קבוצות Active Directory או כלים כגון PSExec .

"פשיעת סייבר עילית"

הכופרה LockerGoga משויכת ל"פשיעת סייבר עילית", כאשר היא משתמשת בטכניקות וכלים דומים ל-APT מסורתי. המפעילים מאחורי LockerGoga אינם בהכרח אלה אשר מבצעים את ההדבקות הראשוניות של רשת הקורבן. נראה שאת הגישה הם הצליחו לרכוש מפושעי סייבר אחרים. באופן דומה, ייתכן שהנוזקה עצמה נרכשה מגורמים חיצוניים.

על פי חוקרי קספרסקי, מדובר ככל הנראה ממתקפה מורכבת של כמה שחקנים. ייתכן שגורם אחד קיבל תשלום עבור פיתוח LockerGoga, שחקן אחר ימכור תעודות לחתימת הקוד הזדוני, גורם נוסף יקבל תשלום על הפצת הדלת האחורית שתשמש את המפעילים, ובקצה השרשרת יימצאו המפעילים, שיבצעו את התנועה הרוחבית ברשת הקורבן ויפיצו את הכופרה.

Wannacry ו-NotPetya, לשם השוואה, היו נוזקות שהגיעו בצורת כופרה, ככל הנראה כעבודה של גורמים במימון מדינות. שתי נוזקות אלו גם כללו יכולות של תנועה רוחבית, כדי להתפשט באופן אוטומטי ברשתות הקורבנות. ל-LockerGoga, לעומתן, אין אמצעים לתנועה רוחבית, והיא חייבת להיות משודרת על ידי מפעיל – אל רשת הקורבן, לאחר שמתקבלות ההרשאות המלאות.

ולדימיר דשנקו, חוקר אבטחה במעבדת קספרסקי, אמר כי "LockerGoga משתייכת למשפחה חדשה יחסית של טרויאנים לכופר. אנו מזהים אותו בסימול Trojan-Ransom.Win32.Crypren. המתקפה היא אירוע מדאיג בחומרתו, ומוכיחה פעם נוספת כי העולם אינו ערוך להתקפות סייבר כנגד תשתיות חיוניות. מולן – התוקפים ערוכים ומסוגלים בבירור להפעיל התקפות על מתקנים שכאלה. ראינו מתקפות על רשתות חשמל, בתי זיקוק, מפעלי ייצור ברזל, תשתית פיננסית, נמלי ים ובתי חולים – ואלה המקרים בהם ארגונים זיהו את ההתקפות עליהם ואישרו את קיומן. עם זאת, חברות רבות לא מדווחות על התקפות, והיעדר הדיווח פוגע ביכולות הערכת הסיכונים והתגובה לאיום".

לדברי דשנקו, "קיים פער בהבנת רמת הסיכון, אשר נובע מהגידול בקישוריות במגזר התשתיות החיוניות". הוא ציטט מחקר של מעבדת קספרסקי, שהעלה כי 61% מהארגונים רואים בהטמעה של IoT במערכות ICS/OT (מערכות בקרה תעשייתיות/מערכות תפעוליות) – אתגר אבטחת סייבר שולי.

"נקודת אור חיובית", ציין דשנקו, "היא שנורסק הידרו סירבה לענות על דרישות ההאקרים ולשלם את דמי הכופר, וכי היו ברשותם גיבויים מוכנים לשימוש. בלא גיבויים שכאלה, התוצאות של התקפה כזאת היו חמורות מאוד. נקודה חשובה נוספת, היא העובדה שתחנות הכח היו מבודדות מהרשת הראשית, ולכן לא הושפעו: ארגון תעשייתי מורכב, כמו מפעל או מתקן היתוך, הוא מארג מורכב להגנה – התשתית שלו בנויה ממרכיבים רבים. פגיעויות. אפילו רכיבים השוליים ביותר, יכולים לשמש כשער גישה לרשת כולה. בעוד עבור רוב הארגונים, המשמעות של פריצה היא כשל בייצור ואובדן הכנסות, מפעלים כגון נורסק הידרו עומדים בפני נזק פיזי לייצור שלהם".