סוג תקיפה חדש בסייבר נגד מתקן תשתיות קריטיות במזרח התיכון
עמי רוחקס דומבה
| 18/12/2017
bigstockphoto
לאחרונה חקרה חברת פייראיי אירוע בארגון תשתית קריטית שבו התוקף שתל תוכנות זדוניות שנועדו לתמרן מערכות בטיחות תעשייתיות. המערכות הממוקדות סיפקו יכולת כיבוי חירום לתהליכים תעשייתיים. אנו מעריכים כי התוקף פיתח את היכולת לגרום נזק פיזי לתשתית הקריטית. "תוכנה זדונית זו, שאנו קוראים לה TRITON, היא מסגרת התקפה שנבנתה כדי לקיים אינטראקציה עם בקרי Triconex Safety Instrumented System . לא ייחסנו את האירוע לשחקן כלשהו, אם כי אנו מאמינים שהפעילות עולה בקנה אחד עם מדינת לאום המתכוננת להתקפה", כותבים בפייראיי.
"טריטון היא אחת ממספר מצומצם של משפחות תוכנה זדונית המכוונות למערכות בקרה תעשייתיות (ICS). בעקבות Stuxnet אשר שימשה נגד איראן בשנת 2010 וIndustroyer ששימשה נגד אוקראינה בשנת 2016. TRITON עולה בקנה אחד עם התקפות אלה, בכך שהיא יכולה לעשות מניפולציה על מנגנוני בטיחות, וכתוצאה מכך לגרום לתוצאה פיזית".
לפי המחקר, התוקף קיבל גישה מרחוק לתחנת עבודה של SIS ופרס את מסגרת ההתקפה של TRITON כדי לתכנות מחדש את בקרי ה- SIS. במהלך האירוע, כמה בקרי SIS נכנסו למצב כשל, אשר באופן אוטומטי גורר כיבוי תהליך תעשייתי. החקירה מצאה כי בקרי SIS יזמו כיבוי בטוח כאשר קוד יישום בין יחידות עיבוד נכשל בבדיקת אימות - וכתוצאה מכך עלתה הודעת כשל אבחון.
"התוקף פרס את TRITON זמן קצר לאחר שקיבל גישה למערכת SIS, מה שמעיד על כך שהוא בנה מראש ובדק את כלי התקיפה, עובדה שדרשה גישה מוקדמת לחומרה ולתוכנה שאינה זמינה באופן נרחב", נכתב במחקר. "TRITON נועדה גם לתקשר באמצעות פרוטוקול קנייני בשם TriStation אשר אינו מתועד בפומבי, עובדה המעלה את האפשרות שהתוקף למד את הפרוטוקול באופן עצמאי." (פרוטוקול TriStation הוא מותג ששייך לשניידר אלקטריק.)
בנוסף לפייראיי , גם החברות dragos וסימנטק פרסמו דו"חות בנושא. לפי דרגוס, התקיפה התרחשה בחודש אוגוסט האחרון במזרח התיכון בלבד. התקיפה אינה עושה שימוש בחולשות במוצרי שניידר אלקטריק ואין עדות שהיא הופעלה מחוץ למזרח התיכון.
bigstockphoto
לאחרונה חקרה חברת פייראיי אירוע בארגון תשתית קריטית שבו התוקף שתל תוכנות זדוניות שנועדו לתמרן מערכות בטיחות תעשייתיות. המערכות הממוקדות סיפקו יכולת כיבוי חירום לתהליכים תעשייתיים. אנו מעריכים כי התוקף פיתח את היכולת לגרום נזק פיזי לתשתית הקריטית. "תוכנה זדונית זו, שאנו קוראים לה TRITON, היא מסגרת התקפה שנבנתה כדי לקיים אינטראקציה עם בקרי Triconex Safety Instrumented System . לא ייחסנו את האירוע לשחקן כלשהו, אם כי אנו מאמינים שהפעילות עולה בקנה אחד עם מדינת לאום המתכוננת להתקפה", כותבים בפייראיי.
"טריטון היא אחת ממספר מצומצם של משפחות תוכנה זדונית המכוונות למערכות בקרה תעשייתיות (ICS). בעקבות Stuxnet אשר שימשה נגד איראן בשנת 2010 וIndustroyer ששימשה נגד אוקראינה בשנת 2016. TRITON עולה בקנה אחד עם התקפות אלה, בכך שהיא יכולה לעשות מניפולציה על מנגנוני בטיחות, וכתוצאה מכך לגרום לתוצאה פיזית".
לפי המחקר, התוקף קיבל גישה מרחוק לתחנת עבודה של SIS ופרס את מסגרת ההתקפה של TRITON כדי לתכנות מחדש את בקרי ה- SIS. במהלך האירוע, כמה בקרי SIS נכנסו למצב כשל, אשר באופן אוטומטי גורר כיבוי תהליך תעשייתי. החקירה מצאה כי בקרי SIS יזמו כיבוי בטוח כאשר קוד יישום בין יחידות עיבוד נכשל בבדיקת אימות - וכתוצאה מכך עלתה הודעת כשל אבחון.
"התוקף פרס את TRITON זמן קצר לאחר שקיבל גישה למערכת SIS, מה שמעיד על כך שהוא בנה מראש ובדק את כלי התקיפה, עובדה שדרשה גישה מוקדמת לחומרה ולתוכנה שאינה זמינה באופן נרחב", נכתב במחקר. "TRITON נועדה גם לתקשר באמצעות פרוטוקול קנייני בשם TriStation אשר אינו מתועד בפומבי, עובדה המעלה את האפשרות שהתוקף למד את הפרוטוקול באופן עצמאי." (פרוטוקול TriStation הוא מותג ששייך לשניידר אלקטריק.)
בנוסף לפייראיי , גם החברות dragos וסימנטק פרסמו דו"חות בנושא. לפי דרגוס, התקיפה התרחשה בחודש אוגוסט האחרון במזרח התיכון בלבד. התקיפה אינה עושה שימוש בחולשות במוצרי שניידר אלקטריק ואין עדות שהיא הופעלה מחוץ למזרח התיכון.
