התקפת סייבר על תחנות כוח בארה"ב
דו"ח של ארגון ICS-CERT שפורסם בסוף שנת 2012, חושף כי במהלך חודש אוקטובר האחרון התרחשה התקפת סייבר על תחנה לייצור חשמל בארה"ב
עמי רוחקס דומבה
| 19/05/2011
(shutterstock.com)
דו"ח איומים שפרסם ארגון Industrial Control Systems Cyber Emergency Response Team - ICS-CERT לרבעון האחרון של שנת 2012, מגלה כי בחודש אוקטובר, סיפק הארגון תמיכה באתר הלקוח במתקן ייצור חשמל שבו התגלו תוכנות זדוניות נפוצות ומתוחכמות בסביבת מערכת הבקרה של הטורבינות במתקן.
התוכנות הזדוניות התגלו כאשר עובד חברה ביקש מצוות ה-IT לבדוק את כונן ה-USB שלו אחרי שחווה בעיות לסירוגין בפעולתו של הכונן. העובד השתמש בכונן USB באופן שגרתי לגיבוי תצורות מערכות הבקרה בתוך סביבת הבקרה.
כאשר עובד ה-IT הכניס את כונן ה-USB למחשב עם תוכנת אנטי וירוס עדכנית, תוכנת האנטי וירוס מצאה שלושה איומים. ניתוח ראשוני נמצא מדאיג במיוחד, כאשר דגימה אחת נמצאה קשורה לתוכנות זדוניות מתוחכמות ידועות. בעקבות הניתוח, ולבקשתו של הלקוח, נפרס צוות של ICS-CERT במתקן שבו אירעה ההדבקה.
הדיונים באתר הלקוח של ICS-CERT עם אנשי חברה גילו קומץ של מכונות שסביר להניח כי היה להן קשר עם כונן ה-USB הנגוע. מכונות אלו נבדקו באופן מידי ותמונות כונן (drive images) נלקחו לניתוח מעמיק. צוות ה-ICS-CERT ביצע גם ניתוח ראשוני של המכונות האלה באתר, וגילה סימנים של תוכנות זדוניות מתוחכמות בשתי תחנות עבודה הנדסיות שהן קריטיות לפעולה של סביבת הבקרה. ניתוח מפורט נערך בתחנות העבודה הללו, היות ולא היו להן גיבויים וניקוי לא-יעיל או כושל היו פוגעים באופן משמעותי בפעילותן.
עם אישור שהתוכנות הזדוניות המתוחכמות קיימות בשתי תחנות העבודה האלו, תשומת הלב נעה במהירות ל-11 תחנות העבודה שנותרו בסביבת הבקרה של מתקן ייצור החשמל . ניתוח ידני באמצעות תכונות הידועות של תוכנות הזדוניות גילה שום סימנים של תוכנות הזדוניות בתחנות מפעיל אלה. הניתוח המעמיק של שתי תחנות העבודה ההנדסית היה קריטי לזיהוי בטוח של האיומים ויצירת תהליכי ניקוי יעילים של התוכנות הזדוניות. הליכי הניקוי פותחו בתיאום הדוק עם ספק מערכת הבקרה של הארגון, כדי להבטיח שזה לא להשפיע לרעה על תחנות העבודה.
אין ספק כי בעוד יישום פתרון אנטי וירוס מציב מספר אתגרים בסביבת מערכת הבקרה, הוא היה יכול להיות יעיל בזיהוי התוכנות הזדוניות המתוחכמות שהתגלו בכונן ה-USB ותחנות העבודה ההנדסיות.
דו"ח איומים שפרסם ארגון Industrial Control Systems Cyber Emergency Response Team - ICS-CERT לרבעון האחרון של שנת 2012, מגלה כי בחודש אוקטובר, סיפק הארגון תמיכה באתר הלקוח במתקן ייצור חשמל שבו התגלו תוכנות זדוניות נפוצות ומתוחכמות בסביבת מערכת הבקרה של הטורבינות במתקן.
התוכנות הזדוניות התגלו כאשר עובד חברה ביקש מצוות ה-IT לבדוק את כונן ה-USB שלו אחרי שחווה בעיות לסירוגין בפעולתו של הכונן. העובד השתמש בכונן USB באופן שגרתי לגיבוי תצורות מערכות הבקרה בתוך סביבת הבקרה.
כאשר עובד ה-IT הכניס את כונן ה-USB למחשב עם תוכנת אנטי וירוס עדכנית, תוכנת האנטי וירוס מצאה שלושה איומים. ניתוח ראשוני נמצא מדאיג במיוחד, כאשר דגימה אחת נמצאה קשורה לתוכנות זדוניות מתוחכמות ידועות. בעקבות הניתוח, ולבקשתו של הלקוח, נפרס צוות של ICS-CERT במתקן שבו אירעה ההדבקה.
הדיונים באתר הלקוח של ICS-CERT עם אנשי חברה גילו קומץ של מכונות שסביר להניח כי היה להן קשר עם כונן ה-USB הנגוע. מכונות אלו נבדקו באופן מידי ותמונות כונן (drive images) נלקחו לניתוח מעמיק. צוות ה-ICS-CERT ביצע גם ניתוח ראשוני של המכונות האלה באתר, וגילה סימנים של תוכנות זדוניות מתוחכמות בשתי תחנות עבודה הנדסיות שהן קריטיות לפעולה של סביבת הבקרה. ניתוח מפורט נערך בתחנות העבודה הללו, היות ולא היו להן גיבויים וניקוי לא-יעיל או כושל היו פוגעים באופן משמעותי בפעילותן.
עם אישור שהתוכנות הזדוניות המתוחכמות קיימות בשתי תחנות העבודה האלו, תשומת הלב נעה במהירות ל-11 תחנות העבודה שנותרו בסביבת הבקרה של מתקן ייצור החשמל . ניתוח ידני באמצעות תכונות הידועות של תוכנות הזדוניות גילה שום סימנים של תוכנות הזדוניות בתחנות מפעיל אלה. הניתוח המעמיק של שתי תחנות העבודה ההנדסית היה קריטי לזיהוי בטוח של האיומים ויצירת תהליכי ניקוי יעילים של התוכנות הזדוניות. הליכי הניקוי פותחו בתיאום הדוק עם ספק מערכת הבקרה של הארגון, כדי להבטיח שזה לא להשפיע לרעה על תחנות העבודה.
אין ספק כי בעוד יישום פתרון אנטי וירוס מציב מספר אתגרים בסביבת מערכת הבקרה, הוא היה יכול להיות יעיל בזיהוי התוכנות הזדוניות המתוחכמות שהתגלו בכונן ה-USB ותחנות העבודה ההנדסיות.
