איראן תוקפת תשתיות קריטיות בארה”ב דרך בקרים תעשייתיים חשופים

דוחות חדשים של CISA ו-Censys חושפים כי האקרים איראנים מנצלים בקרים המחוברים ישירות לאינטרנט, באמצעות כלי הנדסה לגיטימיים של היצרן, ופוגעים במתקני מים, ביוב ואנרגיה

יותם גוטמן |
איראן תוקפת תשתיות קריטיות בארה”ב דרך בקרים תעשייתיים חשופים

Grok

דוחות שפורסמו החודש על ידי סוכנות הסייבר של ארה”ב (CISA) וחברת המודיעין Censys מצביעים על כך שהאיראנים ממשיכים לנסות לפגוע בתשתיות קריטיות בארצות הברית. 

היעד המרכזי: בקרי תעשייה (PLC) מתוצרת חברת Rockwell/Allen-Bradley, אשר מנהלים את הפעילות הפיזית בתשתיות קריטיות כמו מתקני מים, ביוב ואנרגיה. קבוצות תקיפה המזוהות עם משמרות המהפכה האיראניים (כגון קבוצת CyberAv3ngers) מנהלות קמפיין תקיפה נרחב שכבר פגע בלמעלה מ-5,000 בקרים ברחבי המדינה. אך מה שמפתיע הוא הפשטות שבה הן פועלות.

השיטה: לתקוף בקרים פתוחים עם הכלים של המהנדסים
התגלית המטרידה ביותר היא שהאיראנים אינם זקוקים לכלי פריצה מתקדמים או לטכנולוגיות סודיות כדי לחדור למערכות הללו. התוקפים מאתרים בקרים תעשייתיים שהושארו מחוברים לאינטרנט הפתוח ללא כל מערכת הגנה משמעותית. ברגע שהם מאתרים בקר חשוף, הם מתחברים אליו באמצעות תוכנות הניהול וההנדסה הלגיטימיות והרשמיות של היצרן. כך, תוקף איראני שנכנס למערכת נראה ברשת בדיוק כמו מהנדס שטח שגרתי שמבצע בדיקה שגרתית. ברגע שהם בפנים, הם יכולים לשנות את פקודות הבקר, לשבש נתונים במסכי המפעילים ולגרום לנזק תפעולי משמעותי במתקני מים ואנרגיה.

עד כמה הבעיה נרחבת? נתוני הסריקות של חברת Censys חושפים כי קיימים לפחות 5,219 בקרים תעשייתיים הפתוחים לחלוטין לאינטרנט ברחבי העולם ומהווים מטרה קלה.

הפגיעות בארצות הברית חמורה במיוחד: 3,891 בקרים (כ-75% מהמכשירים החשופים בעולם) נמצאים בשטחה. רבים מהבקרים הללו מותקנים בתחנות שאיבה או מתקני תשתית מרוחקים, ומחוברים לאינטרנט דרך מודמים סלולריים רגילים (כמו של חברות AT&T או Verizon) ואף דרך צלחות לוויין של Starlink, ללא חומת אש או הגנה מתאימה.

חוקרי האבטחה אף הצליחו לאתר את “חדר הבקרה” של ההאקרים: שרת הממוקם באירופה שעליו הותקנו כל התוכנות הלגיטימיות, וממנו נוהלו התקיפות נגד מטרות במערב.

ההגנה הטובה ביותר היא בעצם פריסת אמצעי הגנה
הפתרון הפשוט שיכול לעצור את המתקפה: כדי לבלום את הקמפיין האיראני, סוכנויות הביטחון מבהירות שאין צורך ברכישת מערכות אבטחה במיליוני דולרים, אלא בחזרה לכללי זהירות בסיסיים.

ניתוק מהאינטרנט: חובה לנתק באופן מיידי כל בקר תעשייתי שמחובר ישירות לרשת הפתוחה ולהעביר את השליטה לחיבורים מוגנים.

שימוש במתג פיזי: בבקרים רבים ישנו מתג הפעלה פיזי. העברת המתג למצב “RUN” נועלת את הבקר ומונעת כל אפשרות לבצע בו שינויים מרחוק – פתרון פיזי, זול ומוחלט שחוסם גם את ההאקר המתוחכם ביותר.

הקמפיין הנוכחי מוכיח שוב כי החוליה החלשה ביותר בהגנה על תשתיות לאומיות אינה בהכרח טכנולוגית, אלא נובעת מחיפוש אחר נוחות תפעולית על חשבון ביטחון (או פשוט רשלנות).

תגיות