Tal Pavel

תעשיית האנרגיה – יעד מועדף לתוקפים קיברנטיים

/ב /על ידי

תעשיית האנרגיה ממוקמת גבוה ביותר מבין המטרות המועדפות עבור תוקפים קיברנטיים. אם ברצונך לשבש כל דבר, פגע בתשתית החשמל. גורם נוסף להיות האנרגיה תעשיה בעלת סיכון גבוה ביותר הוא מגוון התוקפים המוצאים עניין בתעשייה זו. בדוח בשם "Targeted Attacks Against the Energy "Sector נטען כי מגוון התוקפים הוא החל בבני נוער, עבור במתחרים עסקיים, פעילים פוליטיים, גורמים עויינים בתוך החברות, פושעים קיברנטים וכלה במדינות. כל אלה מעוניינים לגנוב מידע או לפגוע ברשת החשמל.

המחקר קובע כי בין יולי 2012 ויוני 2013 נרשמו 74 התקפות קיברנטיות בממוצע ביום, כאשר תעשיית האנרגיה ריכזה 16.3% מהן, נתונים המציבים אותה במקום השני לאחר המגזר הממשלתי והציבורי המהווים 25.4% מסך התקיפות. מחלקת בטחון המולדת (DHS) בארה"ב דיווחה בשנה שעברה שצוות ICS-CERT שלה הגיב ליותר מ-200 ארועים בין אוקטובר 2012 ומאי 2013, 53% מהם כוונו לתעשיית האנרגיה. אם כי לפי שעה לא נרשמה התקפה מוצלחת שהביאה לנזקים קטסטרופליים על רשת החשמל. אולם הדעות לגבי מידת הסכנה חלוקות, יש מומחים הסבורים כי בעוד הסכנות ממשיות וצריכות לעורר דאגה, לא סביר כי יגרמו לנזקים הרי אסון או ארוכי טווח. אחרים סבורים שכלכלת המדינה יכולה להיות משותקת למשך מספר חודשים ועד למעלה משנה עד אשר מערכות תשתיות קריטיות יבנו מחדש.

עם זאת קובע המחקר כי העליה במספר המערכות המחוברות ושליטה מרכזית על מערכות שליטה תעשייתיות (ICS) משמעה שהסיכון להתקפות בעתיד יגדל. על החברות בתחום האנרגיה להיות מודעות לסיכונים ולתכנן בהתאם הגנה על המידע הרגיש שלהן כמו גם על רשתות ה-ICS או ה-SCADA שלהן. אכן, ישנם מומחי ICS אשר מזהירים מזה שנים על אודות הסיכונים הכרוכים לא רק בשימוש במערכות שליטה מרכזיות, אלא שכולן הן תוצר של חברה אחת – Siemens – דבר המוסיף לפגיעות. לכך יש להוסיף את המספר העצום שלל מכשירים המחוברים לרשת החשמל, בין אם באמצעות תחנות כוח קטנות דוגמת תחנות רוח או סולאריות, או אף מכשירים חכמים בבתים פרטיים, המגדילים משמעותית את שטחי התקיפה האפשריים באופן אקספוננציאלי. ההנחה היא כי מספר ה"חיישנים החכמים" המחוברים לרשת יגדל מ-3.5 מיליארד כיום ליותר מטריליון תוך עשור.

ICS-CERT דיווח לפני שנה על סדרה של מתקפות Brute Force על מפעילי תחנות דחיסת גז, משמעות הדבר שמערכות אלה היו מחוברות לאינטרנט, למרות מספר רב של המלצות של ICS-CERT להמנע מכך.

 

 

Tal Pavel

ארה"ב: 153 התקפות קיברנטיות על רשת החשמל בשנה

/ב , /על ידי

בידיעה מה-8 במרץ נמסר כי מתקני החשמל בארה"ב הפכו למטרה פופולרית להאקרים המציבים בכך סכנה על יכולתה של ארה"ב לספק את צריכת החשמל הנדרשת. בשנה החולפת היה נתון מגזר האנרגיה בארה"ב ללמעלה מ-150 התקפות קיברנטיות לטענת דו"ח בשם "Cybersecurity and the North American Electric Grid: New Policy Approaches to Address an Evolving Threat" אשר התפרסם בחודש פברואר על ידי Bipartisan Policy Center.

הדוח מציין כי השבתה בת יומיים שהתרחשה בשנת 2003 הביאה לנזק הנאמד ב-6 מיליארד דולר, הגם שלא היה תוצאה של התקפה קיברנטית, אולם ביכולת הארוע להמחיש את בנחיצות של תפעולה השוטף של רשת החשמל. עוד קובע הדוח כי על מנת להגן על רשת החשמל מפני תוקפים, על המגזר הפרטי לנקוט בצעדים הנדרשים לצמצם חולשות ברשתות המפעילות ומחברות את ספקי החשמל עם המפיצים. כמו כן כולל הדוח המלצה להקמת ארגון של מגזר החשמל אשר יפעל להגנת הרשת מפני האקרים – "Institute for Electric Grid Cybersecurity". הוצע כי ההשתתפות בגוף זה תהיה חופשית, אולם על הממשלה לעודד חברות להצטרף באמצעות שורה של תמריצים דוגמת הבטחת ביטוח נגד הפסדים כספיים במקרה של התקפות קיברנטיות.

Tal Pavel

OpPetrol – מבצע חדש של "אנונימוס" נגד תעשית הנפט בעולם

/ב , /על ידי

בימים האחרונים מתחיל להתרקם מבצע חדש של פעילי "אנונימוס" נגד תעשיית הנפט בעולם, אשר קיבל את התגית OpPetrol#.

המבצע מופנה כלפי 12 מדינות ובכלל ישראל ועתיד להתבצע ב-20 ביוני 2013;

כיריית פתיחה למבצע זה, פרסמה קבוצת ההאקרים Mauritania Attacker ב-11 במאי רשימה ובה 16 כתובות דוא"ל של גורמי ממשל, חינוך ומסחר בערב הסעודית. בו ביום פורסם סרטון ביוטיוב אשר זכה לכ-8,000 צפיות עד כה. בסרטון זה מוסבר המניע למבצע ונטען כי ייחודו של המבצע הוא בכך שבמועד שנקבע יותקפו מדינות רבות בו זמנית ובכלל זה; ארה"ב, קנדה, בריטניה, ישראל, סין, איטליה, צרפת, רוסיה, גרמניה, ערב הסעודית, כווית, קטאר.

התמונה שלהלן מהווה תמליל של סרטון זה;

תחתיתה של הודעה זו כוללת את "החברים הרשמיים" במבצע זה ובכללם האקרים בודדים ובקבוצות שונות. בנוסף, הופצה ב-17 במאי הודעה הכוללת את הקוד ליצירת עמוד זה, לשם שימוש באתרים אשר יפרצו ויושחתו במהלך המבצע. לפי שעה נעשה בכך שימוש בעת פריצה והשחתה של האתר http://usaptc.com.

Tal Pavel

התקפות מקוונות – מה התגלה לאחר ה-Stuxnet ?

/ב , , /על ידי

בשנתיים האחרונות אנו עדים לעליית המודעות התקשורתית ולחשיפת נוזקות שונות ככלים מקוונים אפילו במאבקים סמויים מהעין בין מדינות. נראה כי בעת האחרונה קצב זה הולך וגובר, עד לכדי מצב בו כמעט מידי חודש עולה לכותרות שמה של נוזקה חדשה הנחשפת ושמטרתה פגיעה במערכות תשתית כאלה ואחרות או גניבת מידע ממערכות אלה.

האחרונות שבהן, כמעט ולא הגיעו לידיעת התקשורת המקומית שנראה כי בשל התכיפות, חדלה מלמצוא עניין בתופעה.

ב-16באוגוסט פורסם דבר קיומה של נוזקה חדשה, Shamoon שמה, אשר לפי הטענה, נועדה לפגוע במתקני תשתית של תעשיית האנרגיה. זמן לא רב לאחר מכן נודע כי אכן עשרות אלפים ממחשביה של חברת הנפט הלאומית הסעודית ARAMCO נפגעו מוירוס אשר נראה היה כבעל פעילות ממוקדת ביותר. אולם למרות טענה כי יתכן ואיראן עמדה מאחורי מתקפה זו, פעילי "אנונימוס" הודיעו מספר פעמים על כך שהם אחראים למתקפה זו.

כשבועיים לאחר מכן דווח על פגיעה דומה של וירוס במחשבי חברת הגז הקטארית RasGas, אשר נטען כי גם היא תוצר של הוירוס Shamoon. כמו במקרה של מחשבי חברת הנפט ARAMCO, גם במקרה זה נמסר כי הוירוס לא פגע בייצור, אלא במחשבי החברה עצמם.

בתחילת חודש אוגוסט נודע על הוירוס Gauss אשר עיקר פעילותו היתה בלבנון דווקא ונועד לגנוב מידע. קצת קודם לכן, בסוף חודש יולי, דווח על וירוס חדש בשם AC/DC שפגע אף הוא במחשבי תעשיית הגרעין האיראנית. מעט לפני כן, במחצית חודש יולי, נודע על Mahdi שחלק טענו כי מטרתו ישראל וחלק כי מרבית פגיעתו באיראן דווקא. בסוף חודש מאי נתבשרנו על ה-Flame, אשר גם במקרה זה נטען כי איראן היתה מהנפגעות המרכזיות.

שנה קודם לכן, באפריל 2011, הודיעו גורמים באיראן כי הם גילו בעצמם פעילות של וירוס אותו כינו Stars. אולם בניגוד למקרים שהתגלו לפני ואחרי וירוס זה, ההודעה על כך לא הגיעה מחברות אבטחת מידע שיכלו לבדוק את הוירוס ואת פעילותו, אלא ישירות מגורמים איראניים. לפיכך, לא ניתן היה לאמת את דבר קיומו של וירוס זה.

באותה העת עלה השם Duqu לכותרות אשר ככלי אשר נועד ככל הנראה לרגל אחר תעשיית הגרעין האיראנית.

פעילות הולכת ומועצמת זו של תקיפות מקוונות, החלה להעלות השערות שונות ונסיון למצוא קשר וזיקה בין המתקפות; ידיעה אחת טענה לקשר בין ה-Stuxnet ל-Duqu, אחרת עסקה בקשר בינן לבין Wiper (הנוזקה אשר שימשה בסיס ל-Shamoon). כתבות שונות ניסו לקשור בין ה-Wiper ל-Flame, בין Stuxnet  ל-Flame ובינן לבין Duqu, בין Mahdi ל-AC/DC ואפילו בין ה-Duqu לבין ה-Stars עליו הודיעו האיראנים.

חברת קספרסקי סיכמה חלק מההתקפות הללו בגילוי המעניין לפיו מירב ההתקפות המקוונות המשמעותיות האחרונות ניתנות למיקום על גבי השורה השניה של לוח המקשים במקלדת;

האם כל זאת הוא חלק ממבצע אמריקאי מתוזמר היטב אשר זכה לשם הקוד "Olympic Games" אשר נועד לפגוע בצורה מקוונת בתעשיית הגרעין האיראנית ?

מה חלקה של חברת קספרסקי בגילויים אלו ? מדוע דווקא היא מגלה את מרבית הנוזקות הללו אם לא את כולן ? מדוע הוירוס Gauss פורסם על ידה רק לאחר שהפסיק מלפעול וכאשר הרעש התקשרותי היה למעשה סביב פריט הסטורי ?

ללא ספק העבר הקרוב מגלה לנו עוד ועוד נוזקות שנחשפות אשר היו פעילות בחודשים ואף במהלך השנים האחרונות באזורנו. מעניין לכמה מאלו הפעילות כיום עוד נחשף בעתיד והאם נצליח ביום מן הימים לאגד את כל חלקי הפאזל המפוזר הזה, לכדי מארג אחד שלם, אשר יציג בפנינו את התמונה האמיתית אודות המתרחש מתחת לפני השטח כעת.