נוזקה לפריצת תחנות כוח זמינה ברשת לכל האקר
הנוזקה, Industroyer, שימשה בדצמבר שעבר למתקפה של כנופיית האקרים מרוסיה כנגד רשת החשמל האוקראינית. על אף שהנוזקה יכולה להקל על תוקפים במבצעי סחיטה או חבלה, לא מדובר בנשק סייבר אסטרטגי והיא אינה מסוגלת לחדור בעצמה לרשתות חשמל
חברת אבטחת המידע הסלובנית ESET חשפה ניתוח של נוזקה בשם Industroyer, חבילת תוכנות זדוניות שהצליחה לפגוע בתחנות כוח באוקראינה בדצמבר 2016. לפי מומחי אבטחה, הנוזקה זמינה ברשת לכל האקר, מה שיכול לסייע להם במתקפות חבלה וכופר.
- דיווח: טראמפ חשף כי האקרים של צה"ל פרצו לדאעש
- הבאג שבטנק ינצח: כך כופפו האקרים פלוגות שריון
- המשבר במפרץ: כך סכסכו האקרים בין קטאר וסעודיה
אמיר כרמי, מנהל הטכנולוגיות של ESET ישראל, כתב בבלוג החברה כי מדובר בנוזקה מודולרית שיודעת לתקוף שורה ארוכה של מערכות תעשייתיות. לדבריו, היא משתמשת בארבע פרצות המאפשרות השתלטות על בקרים תעשיתיים. "כל אחת מהן מיועדת לתקוף פרוטוקול תקשורת אחר שייחודי למערכות ניהול תחנות חשמל", כתב.
הנוזקה נצפתה לראשונה בדצמבר שעבר, עת השתמשו בה האקרים ממקור רוסי לתקיפת תחנת כוח אוקראינית. המתקפה הצליחה להשבית מספר מוגבל של תחנות משנה ברשת החשמל ולגרום להפסקות חשמל מקומיות, קצרות ובודדות - מה שבכל זאת זרע פחד במדינה. ליאור פרנקל, מייסד ומנכ"ל משותף בחברת ווטרפול, הסביר ל"כלכליסט" שהאיום אינו נורא כפי שאולי נראה: "היא מתבססת על פרוטוקולים שנפוצים בעולם התעשייתי ועושה שימוש בארבעת הגדולים שבהם", אמר.
"החבילה שהורכבה מאפשרת לגורם שיצליח להחדיר את הנוזקה לשלוח פקודות למערכות הבקרה ולשלוט בעקיפין על פעולות של מערכות תעשייתיות". ואולם, לשם כך יהיה על התוקף להצליח להיכנס בכלל אל הרשת הפנימית של תחנת הכוח - אתגר לא מבוטל גם עבור האקרים מומחים.
לדברי פרנקל, Industroyer אינה כלי תקיפה מתקדם במיוחד או בעל יכולות מסוכנות. "זו לא היתה נוזקה בעלת יכולות אסטרטגיות, אחרת הרוסים לא היו משתמשים בה באופן זה. היא למעשה לא גרמה לנזק אסטרטגי. אם היה מדובר בנשק סייבר מתוחכם הוא לא היה משמש למטרות כה פשוטות כמו הפחדה של אוכלוסיה", הוסיף.
לראיית פרנקל, Industroyer תוכל לשמש פושעי סייבר לביצוע מתקפות על תשתיות תעשייתיות אחרות, למבצעי סחיטה. למשל, פריצה למפעל ודרישת כופר כדי שלא לגרום להשבתת מכלולי ייצור בו.
עד כמה קשה לפרוץ לתחנת כוח?
תחנות כוח הן אמנם מטרת איכות עבור האקרים רבים, אך מדובר באתגר גם עבור ההאקרים הטובים ביותר; בגלל שייצור ואספקת החשמל הם תהליך שחייב להמשיך ללא הרף ובאמינות מוחלטת, חברות חשמל לא ששות להתקין ברשתות שלהן מערכות אבטחה אקטיביות שיסרקו ויחפשו איומים אפשריים. ואולם, תחנות כוח הן עדיין מטרות שקשה מאוד לפצח, בשל ההפרדה בין הבקרים הפיזיים שמפעילים את תחנות המשנה ברשת החשמל ובין רשתות המחשבים של חברות החשמל. הרשתות פועלות במעגל סגור ככל האפשר, עם חציצה בין הבקרים הפיזיים והאלמנטים ברשת שיכולים להיות חשופים לגישה מהאינטרנט.
בדצמבר 2015, כשנה לפני מתקפת Industroyer, הצליחו האקרים לפרוץ לרשת החשמל באוקראינה ולנתק כ-225,000 בתי אב ממנה. התוקפים הצליחו לנתק כ-145 תחנות משנה מרשת החשמל וכך להשיג את מטרתם. במקביל לתקיפה, פתחו במתקפת DDoS על מרכזי שירות ותמיכה של רשת החשמל, כדי להקשות על החברה לזהות את הפריצה ולתקן את הנזק. המבצע היה מורכב מאוד וכלל שימוש בהתקנים אלחוטיים לחדירה לרשת הפנימית של חברת החשמל, איסוף מודיעין של כמה חודשים וכתיבת עדכון קושחה מזויף כדי לקבל גישה לתחנות המשנה ולנתק אותן באופן יזום. כל המבצע הזה הצריך הרבה תכנון, ידע מעמיק שאין להאקר הממוצע והרבה כסף.