BETA

16.12.2017

14:06

עודכן:

 תשתיות האנרגיה בסעודיה תחת מתקפה
תשתיות האנרגיה בסעודיה תחת מתקפה,
עיבוד: עשר אונליין

חוקרים ישראלים: "איראן עומדת מאחורי מתקפת הסייבר על סעודיה"

מוקדם יותר השבוע דווח חשיפת מתקפת סייבר שהופעלה כנגד ציוד ומכשור תעשייתי בערב הסעודית. כעת חברת סייבר איקס (CyberX) הישראלית מכוונת אצבע מאשימה לממשל בטהרן

ביום חמישי האחרון חשפה חברת הסייבר האמריקאית FireEye כי מתקפת סייבר חדשה, שבמרכזה נוזקה המכונה בשם טריטון (Triton) שמה לה למטרה לפגוע במערכות בטיחות מסוג Triconex מתוצרת חברת Schneider Electric (אחת מהמובילות העולמיות בייצור מערכות שליטה ובקרים תעשייתים) שנפוצה בעיקר בתעשיית האנרגיה. 

 

הדיווח של FireEye דיבר על מתקפה שכוונה כנגד מדינה במזרח התיכון, מה שהעלה המון שאלות לאויר, הבוקר חברת הסייבר הישראלית סייבר איקס (CyberX) חושפת כי המדינה המדוברת היא סעודיה וככול הנראה התוקפת היא לא אחרת מאשר יריבתה המרה איראן. למרות שזו אינה הפעם הראשונה שתשתיות אנרגיה נמצאות תחת מתקפת האקרים, הרי שבמתקפה הזו ככול הנראה באופן תקדימי, הותקפו מערכות בטיחות של מפעלים ומזקקות נפט כשבנוסף הנוזקה איפשרה 

 

 מתקפת סייבר איראנית
 

מתקפת סייבר איראנית( עיבוד: עשר אונליין)

 

לפי הדו"ח שפורסם נראה כי ההאקרים השתמשו בנוזקה בשם טריטון כדי להשתלט על תחנות עבודה ומשם תכנתו מחדש בקרי שליטה של מערכות הבטיחות במפעלים שנפגעו. עוד עולה כי המתקפה הזו החלה בשלהי חודש אוגוסט האחרון וכי צורת ההדבקה מתבצעת דרך ניצול חולשה במחשבים המריצים את מערכת ההפעלה של מיקרוסופט "חלונות".

 

 Triconex Key Switch
 
Triconex Key Switch

 

Triconex Key Switch

Triconex Key Switch( fireye)

 

 

התוקפים הסוו את את פעילותם והצליחו להגיע גם למערכות אחרות, אך התגלו לאחר שכמה מהבקרים הנגועים נכנסו במקרה למצב failsafe הגנתי וכבו. על פי FireEye  זה קרה מכיוון שההאקרים, שניסו לבחון את פעולת המערכת וכיצד ניתן לשלוט על בקרי האבטחה, "מעדו" וככול הנראה עוררו בשוגג תהליך שהוביל לכיבוי מספר בקרים. סוג פעולה שכזה אופייני בדרך כלל למה שמכונה הכנה מודיעינית טרום מתקפה אפשרית, מצב ובו התוקף מנסה לגשש במערכת המותקף ולמצוא את חולשותיה.  

 

הטריטון היא כעת הנוזקה השלישית הידועה, המסוגלת להשבית ולשבש תהליכים תעשייתיים. קדמו לה תולעת הגרעין האיראנית , סטוקסנט, שבשנת 2010 השביתה את תעשיית הגרעין האיראנית ויוחסה על פי פירסומים זרים לארה"ב וישראל, ונוזקת ה-Industroyer (המכונה גם Crash Override) שבשנת 2016 שיתקה חלק ניכר מתשתיות החשמל באוקראינה ויוחסה לרוסיה.

 

תעשייה בסעודיה
 

תעשייה בסעודיה fotolia

 

 

כאמור שניידר ו-FireEye לא נקבו למעשה בשם המדינה או בזהות התוקף בפירסום שלהם, ואלו נתגלו רק לאחר שסגן נשיא חברה האבטחה הישראלית CyberX , פיל נריי, הודיע לתקשורת כי  ניתוח הדגימות של הנוזקה שבוצע על ידי החברה העלה כי איראן היא זו העומדת מאחורי המתקפה על תעשיית האנרגיה הסעודית.

 

זו אינה הפעם הראשונה שאיראן מואשמת כי תקפה את תעשיית האנרגיה הסעודית. בעשור האחרון הממשל בטהרן לוטש עינו לבטן הרכה של האוייבת הסעודית והמקור לכוחה - תעשיית האנרגיה. מתקפות עבר דוגמת מתקפת נוזקת השאמון על שלל נגזרותיה, כפי שראינו השנה  ובשנת 2012 הופכות שכיחות יותר בממלכה הסעודית ומהוות תמרור הזהרה לעולם כולו.

 

על פי פירסומים זרים נראה כי בשניידר משתפים פעולה עם משרד ההגנה האמריקאי בחקירת המתקפה. החברה גם פירסמה הנחיות למפעלים כיצד להתמודד עם איום הנוזקה החדשה והודיעה כי היא ממשיכה לחקור את העניין.