פרצת אבטחה "בעלת פוטנציאל נזק קטסטרופלי" התגלתה בסימנס

פרצת אבטחה חמורה התגלתה בפרוטוקול למערכות בקרה תעשייתית Profinet של סימנס. החברה התריעה על כך אתמול (ג'), בשל הסכנה ללקוחות שלה.

הפגיעות התגלתה ב-Siemens STEP 7 TIA Portal – תוכנת תכנון ואוטומציה של מערכות בקרה תעשייתיות (ICS), שנמצאת בשימוש של גופי תשתיות רבים, לרבות תשתיות קריטיות, מכל מגזרי הפעילות – ברחבי העולם.

בפוסט בבלוג שפרסמו חוקרי טנבל ריסרץ' נכתב כי "השחקן הרע עלול לנצל את הפגיעות הקריטית כאבן דרך במתקפה מותאמת נגד תשתיות קריטיות, עם פוטנציאל נזק קטסטרופלי".

חוקרי אבטחה ציינו שעל ידי ניצול החולשה, "תוקף לא מזוהה עלול לבצע מרחוק פעולות ניהוליות במערכת, לרבות להוסיף נוזקה לבקר התעשייתי. שחקן רע עלול גם לנצל את הפגיעות לקצירת נתונים, כדי לתכנן מתקפת סייבר ממוקדת בעתיד". הפגיעה דרך הפרצה הזו במפעל התשתית – חשמל, אנרגיה, תעופה, או תחבורה – מבוצעת באמצעות מתקפת מניעת שירות מבוזרת (DDoS) על הבקר התעשייתי.

סימנס פרסמה עדכונים עבור כמה מוצרים שעלולים להיות מושפעים מהחולשה, והמליצה ללקוחות להתעדכן בגרסה החדשה. היא אף המליצה לספקים אחרים של התקני Profinet לבדוק אם מוצריהם שילבו גרסה פגיעה כחלק מערכות הפיתוח שלה.

הפגיעות, שזכתה לסיווג CVE-2019-10915 , משפיעה על אותה משפחת רכיבים שנפגעה במתקפת סטוקסנט. ישראל וארצות הברית, כך לפי פרסומים זרים, הן שהיכו בתכנית הגרעין האיראנית, בפעולת סייבר ששיאה נחשף ב-2011. מומחים טוענים כי האמריקנים והישראלים עשו זאת באמצעות פיתוח התולעת סטוקסנט, אשר פגעה במערכות בקרה תעשייתיות מסוג SCADA מתוצרת סימנס, השולטות בצנטריפוגות במתקן ההעשרה של איראן בנתנז.

תולעת בת עשור

התולעת התגלתה על ידי חברת הסייבר וירוס בלוקאדה מבלרוס ביוני 2010. בספטמבר באותה השנה היא זכתה לפרסום עולמי כאשר דווח שהיא נוצרה והופצה על ידי גוף ממשלתי, כצעד של לוחמה קיברנטית שנועד לחבל במתקני הגרעין של איראן. בין המדינות ששמן נקשר ליצירת התולעת באותם ימים הופיעו ישראל וארצות הברית, אולם צוינה גם מעורבות של "מדינות אירופיות". חודשיים לאחר החשיפות הודה נשיא איראן דאז, מחמוד אחמדינג'אד, שהתולעת פגעה בתכנית הגרעין של ארצו.

מומחי אבטחת מידע בעולם הגדירו את סטוקסנט כאחת התוכנות הזדוניות המתוחכמות ביותר שאי פעם נכתבו. היא מצוידת ביכולת לתכנת מחדש בקר לוגי מיתכנת (PLC) ומשוכללת ביותר. לפי התיאורים, היא מכילה כ-15 אלף שורות קוד, תקפה את הבקרים של הצנטריפוגות ושינתה בהם את ההוראות. כך, התחממו ונהרסו ככל הנראה 1,000 או יותר צנטריפוגות. עוד קיימת בסטוקסנט מערכת להסוואת החבלה תוך הדמיה של רישום פעילות פיקטיבית תקינה – בעוד שתפקודה של המערכת לקוי. דבר זה נועד על מנת לעקוף את מנגנוני הבטיחות האוטומטיים של הצנטריפוגות ולשטות במפעילים ובחוקרי החבלה.

תכנית התקפת הסייבר רחבת ההיקף, שכונתה נייטרו-זאוס (Nitro-Zeus) ושסטוקסנט הייתה חלק אחד ממנה, נועדה לשיבוש פעילויות התשתית החשובות של איראן, כמו הממשל, תחנות הכוח ורשתות החשמל, וזכתה בעת הפעולה לשם הקוד "המשחקים האולימפיים".