שרשרת האספקה – איום הסייבר השקט

התקפות "ערך" במרחב הקיברנטי הן כאלו שיכולות לשנות את הסטטוס קוו הקיים, ולכן נחשבות לכדאיות יותר. בין אם מדובר בגניבת שרטוטים של מטוס, פגיעה בכור אטומי או שיבוש אספקת חשמל, לכולן יש נקודת תורפה משותפת – שרשרת האספקה. ניתוח מיוחד של האיום הכי מסוכן היום בעולם הסייבר

Global Supply Chain - projectnorielblog

בשיאה של המלחמה הקרה, ביוני 1982, לוויין אמריקאי זיהה פיצוץ גדול באזור סיביר. לאחר תחקיר קצר, התברר שמקור הפיצוץ אותו קלט הלוויין הוא צינור הגז הטראנס סיבירי החדש שבנו הסובייטים באותו אזור. זמן קצר לפני אותו אירוע, השלים שירות הביון הסובייטי, הק.ג.ב, מבצע מתוחכם שנראה נועז אפילו בשביל ספרי ג'יימס בונד. מטרת המבצע הייתה להחדיר מרגל לחברת תוכנה קנדית על מנת שישיג מערכת ניהול לצינור הגז החדש.

מחלקת Line-X

אותו מרגל לא ידע שהתוכנה שאותה הוא גונב עברה 'טיפול' על ידי מומחים של ה-CIA, ארגון הביון האמריקאי, שהכניסו בה מספר שורות קוד נוספות. המרגל חזר לברית המועצות עם התוכנה שהותקנה במערכות הניהול של צינור הגז החדש, והיא זו שגרמה לאחר זמן קצר לפיצוץ שלו. אותו פיצוץ שנקלט בלוויין האמריקאי.

מאוחר יותר הגדיר תומס ריד, אז בכיר במודיעין חיל האוויר האמריקאי, את המבצע של ה-CIA כאחד הפיצוצים האדירים ביותר שאינו גרעיני שנראה אי פעם מהחלל. זאת, ללא שימוש בטיל או פצצה, אלא באמצעות שורות קוד בתוכנה.

מבצע הריגול נודע לימים תחת השם Line-X על שם המחלקה בק.ג.ב שהייתה אמונה על גניבת סודות טכנולוגיים מארה"ב בשנות ה-70 וה-80. בשיא שלה, כללה מחלקת Line-X כ-200 סוכנים שעבדו תחת 10 תחנות שונות של הק.ג.ב במדינות המערב. והם גנבו הכל. חלקי מתכת, תוכנות, שרטוטים ואלפי מסמכים שהכילו מידע בנוגע למכ"מים, מערכות מחשוב, מכונות ומוליכים למחצה.

אותה מחלקה התגלתה על ידי סוכן כפול סובייטי בשם ולדימיר וטרוב שהופעל על ידי הצרפתים תחת הכינוי “Farewell”. את המידע שהוא העביר חלקו הצרפתים עם ה-CIA האמריקאי והוא זה שהוביל את שירות הביון להחלטה שאפשר לשטות ברוסים באמצעות הטמנת רכיבי חומרה ותוכנה 'מטופלים' במערכות שאותן גונבים הרוסים.

איום שקט

דו"ח של ה-OECD משנת 2013 מצא שכיום למעלה ממחצית המוצרים המיוצרים בעולם הם "מוצרי ביניים", מוצרים המשמשים לייצור של מוצרים אחרים, ולמעלה מ-70 אחוזים מהשירותים הם גם שירותי ביניים. פיצול שרשרת הייצור היא נקודת חוזק של פירמות רבות בעולם והיא תולדה של התקדמות טכנולוגית, חסכון בעליות הייצור, גלובליזציה של משאבים ושווקים ורפורמות במסחר וייצוא במדינות רבות. לא פחות חשוב, היא פועלת לפי עיקרון היתרון היחסי.

שרשרת האספקה היא קבוצת משאבים ותהליכים הקשורה לספקים, רוכשים וקבלני ביצוע הדרושים לתהליך הפיתוח, הייצור, הטיפול והמשלוח של מוצרים ושירותים לרוכשים שונים. פגיעה במערכת הסופית דרך שרשרת האספקה אפשרית בכל מקום במחזור החיים שלה, וההגנה הופכת להיות יותר מורכבת.

לשרשראות אספקה יש מאפיינים שמקשים מאוד על ההגנה שלה ונותנים יתרון לתוקף: הן מורכבות, מפוזרות ברחבי העולם, הן מחוברות (interconnected), הן ארוכות וכוללות הרבה חוליות לוגיות, המסלולים שלהן אינם קבועים וישנן שכבות שונות של מיקור חוץ. המשמעות מצדו של המגן היא קושי בהבנה של המרכיבים המשמשים בכל מערכת ובכל תת מערכת ביחד ולחוד.

מנקודת המבט של הארגון מדובר בבעיה כבדה שיכולה להתבטא בשתי משפחות איומים. הסוג הראשון הוא ירידה בפונקציונאליות. איכות החומרה והתוכנה קשה לבדיקה וקיים חשש לרכיבים מזויפים שאינם עומדים בתקינה נדרשת. אפילו כאשר ישנו מנגנון פיקוח ישנן תקלות.

כך לדוגמא בשנת 2011 מצא מבקר המדינה האמריקאי (GAO) שצבא ארה"ב רכש אלפי רכיבי אלקטרוניקה מזויפים מקבלן אמריקאי. על פי GAO, מספר מערכות מבצעיות סבלו מעיקובים מבצעיים משמעתיים כתוצאה מכך. בין המערכות ניתן למצוא לוויין צבאי מתקדם בתדר גבוהה במיוחד, הדור הבא של מערכות ה GPS - BLOCK IIF, לוויין שהוא חלק ממערכת SBIRS, ועוד.

הסוג השני הוא פונקציונאליות לא רצויה. במקרה הזה מדובר בהחדרת קוד עוין לחומרה או תוכנה במהלך הייצור שתנוצל כאשר החומרה או התוכנה יגיעו ליעד. אפשרות נוספת היא תוכנה שפותחה ברמה נמוכה ומאפשרת ניצול חולשותיה. בגלל המורכבות הגדולה של ניתוח שרשרת האספקה גילוי (או ניצול) של חולשות בשרשרת האספקה יכול לקחת שנים רבות.


הסכנה: התמוטטות של ארה"ב בתוך 15 דקות

למרות שאירוע הצינור הטראנס סיבירי התרחש לפני יותר מ-30 שנים, עד היום הוא מסמל את ההתחלה של התקפות הידועות כמתקפות על שרשרת האספקה. בעגה מקצועית יש שמכנים פעולות אלו כשימוש בפצצות לוגיות – השוואה שמטרתה ליחס להתקפות אלו את אותה החומרה שמייחסים להתקפות בנשקים קינטיים.

מאז, בוצעו לא מעט מתקפות כאלו מתוך מטרה לפגוע בחוליות החלשות בשרשרת האספקה של מוצר טכנולוגי שמגיע לאויב. בשוק העבודה הגלובלי, ייתכן ורכיבי מוצר ייוצרו במספר ארצות שונות ויורכבו במוקדים שונים, עובדה המגדילה את כמות נקודות התורפה בשרשרת האספקה והופכת התקפות אלו לכדאיות במיוחד.

התקפות אלו ממשיכות גם בזמן כתיבת שורות אלו, כאשר האחרונות שבהן כוללות את התקפת Icefog שזוהתה בחודש ספטמבר השנה על ידי מעבדת קספרסקי וכוונה בעיקר לחברות וארגונים בדרום קוריאה ויפן, מרכזים תעשייתיים עולמיים.

התקפה נוספת נחשפה מתוך מסמכי אדוארד סנואדן, המדליף שעבד ב-NSA. אותם מסמכים חשפו כי יחידת סייבר מיוחדת של ה-NSA תחת השם TAO השתילה רכיבים אלקטרוניים וקוד זדוני במוצרים שהיו בדרכם ללקוח הסופי. על פי פרסומים זרים, גם החדרת וירוס הסטוקסנט למערכת השו"ב של מתקן העשרת האורניום בנתאנז, נעשתה על ידי תקיפה של מספר נקודות בשרשרת האספקה. על פי הפרסומים, החדרת הווירוס נעשתה ככל הנראה על ידי טכנאי שהגיע לבצע פעולות תחזוקה במתקן. מתכנני וירוס הסטקסנט הראו שגם אם מחשב אינו מחובר לרשת מחשבים, הוא מחובר לרשת אספקה ומשם אפשר לתקוף אותו.

לאחרונה גם פורסם שסין תקפה וגנבה את כל תכניות מטה השירות החשאי האוסטרלי. מקרה נוסף מהשבועות האחרונים שפורסם, מגלה כי רכיבי חומרה מטופלים הוחדרו לשני לווייני ריגול שצרפת עתידה למכור לאיחוד האמירויות הערביות בשנים הקרובות.

איום הפגיעה בשרשרת האספקה לא פסח גם על ישראל, ובכירים בתעשיות הביטחוניות בארץ מביעים חשש בחדרי חדרים מרכיבי אלקטרוניקה מזויפת. בשנה שעברה נתפסו רכיבים כאלו במטוסים אמריקאים ולא מן הנמנע שרכיבים כאלו הגיעו גם למוצרים ישראליים. יש לציין כי רכיבים אלו הם בבחינת "איום שקט" – כלומר, הם נראים פאסיביים למראית עין ורק כאשר מתקיים תנאי מסוים כמו טמפרטורה מסוימת, מהירות מסוימת או מיקום יעד הם מתעוררים ופוגעים במערכת.

ריצ'רד קלארק, עובד לשעבר בבית הלבן שהיה ממונה על לוחמה בטרור והגנה בסייבר, חזה בספרו התמוטטות קטסטרופלית של ארה"ב בתוך 15 דקות בלבד בגלל פגיעה בשרשרת אספקה הנדרשת לקיום תשתיות קריטיות. באגים במערכות מחשב ישתקו מערכות דואר אלקטרוני צבאיות; בתי זיקוק וצנרת יתפוצצו; תהיה קריסה של מערכות מיזוג ובקרת רמזורים; רכבות משא ורכבות תחתית ישובשו; הנתונים הכספיים במערכת הפיננסית יעורבלו; רשת החשמל במזרח ארצות הברית תשותק ולוויינים המקיפים את כדור הארץ יצאו מכלל שליטה. לפי התרחיש הזה, החברה האמריקאית תתפרק, והמזון והכסף יגמרו. והגרוע מכל, זהותו של התוקף עשויה להישאר בגדר תעלומה.

רם לוי הוא מנכ"ל חברת קונפידס וחוקר בכיר בסדנת יובל נאמן למדע טכנולוגיה וביטחון באוניברסיטת תל אביב www.konfidas.com .

עמי רוחקס דומבה הוא הכתב והעורך הטכנולוגי של "ישראל דיפנס". בנוסף הוא שוקד בימים אלו על כתיבת תזה במסגרת תואר שני בנושא הרתעה בסייבר.

You might be interested also

BIGSTOCK/Copyright: AndreyPopov

The true cost of ransomware attacks

A survey conducted by Cybereason finds that 50% of companies experienced a ransomware attack during the last year, 46% of organizations that paid the ransom did not get all of their data back, and 80% of organizations that decided to pay experienced another attack