חדשות היום
New-Tech Magazine
- ספטמבר 2, 2024

עליית התקיפות בסקטור התשתיות הקריטיות: איום מתגבר וצעדים להגנה

בסקר שנערך על ידי ה-FBI ו-CISA (Critical Infrastructure Security Alliance) בשנת 2023, נמצא כי למעלה מ-200 ארגונים, המשתייכים ל-12 סקטורים שונים, נפרצו במהלך השנה. בין הארגונים שנפגעו, נמנים תשתיות קריטיות משמעותיות כגון מפעלים, חברות חשמל ושדות תעופה. המגמה המדאיגה של עלייה במספר התקיפות במגזר התשתיות הקריטיות מובילה את הארגונים להתחמש במיטב הטכנולוגיות על מנת לספק נראות והגנה לחולשות הקיימות במערכות השונות.

פרוטוקולים מיושנים חושפים את התשתיות לסיכונים

מגזר התשתיות הקריטיות מבוסס על פרוטוקולים ותיקים כגון MODBUS, אשר עצם השימוש בהם חושף את הארגון לחולשות משמעותיות. היות ומדובר בארגונים שהמערכות בהם פועלות עשרות שנים, לא ניתן לבצע בקלות שדרוג למערכות ולפרוטוקולים ישנים. על כן, ארגונים נדרשים לשנות את תפישת ההגנה, במיוחד ברשתות מורכבות אלה. כיום, מאחר שמדובר במערכות קריטיות החייבות להיות זמינות ככל שניתן וחסינות מפני מפגעים, פגיעה בתשתית קריטית עלולה לסכן חיי אדם.

יתרונות התוקף מול אתגרי ההגנה

מערכות אלו רגישות במיוחד, ואופן בחינת חוזק ההגנה עליהן הינו מורכב וקשה. היתרון המשמעותי של התוקף טמון בכך שבמידה והצליח להשיג גישה לרשת, הוא יפעל בכל דרך על מנת לשבש את המערכת, ללא מגבלה של רגישות או הימנעות בפגיעה במערכות השונות. בשל רגישות המערכות, הניטור בהן מתבצע בצורה פסיבית ולא אקטיבית. לדוגמה, ביצוע סריקה אקטיבית לציודים נחשבת היום כמעט ל”מילה גסה”. לכן, מרבית ציודי ההגנה והניטור מבוססים על הגנה באמצעות העתקת נתוני התעבורה מכלל הרשת אל פורט ייעודי (SPAN PORT) שאליו מחוברים ציודי הניטור.

תרחיש דוגמה: פגיעה בצ’ילר בחדר שרתים

ננתח תרחיש אפשרי שיכול להיות רלוונטי לכל חברה בעלת חוות שרתים. על מנת להבטיח רצף תפעולי של השרתים, יש לשמור על טמפרטורה נמוכה בחדר השרתים. במקרה שבו הטמפרטורה תעלה מעל לרמה מסוימת, כלל המחשבים בחדר השרתים עלולים להפסיק לפעול בשל חום יתר. בחדרי שרתים משתמשים בצ’ילרים (מעין מזגנים גדולים) לצורך קירור נוזל והעברתו למערכות הקירור השונות לטובת שמירה על טמפרטורה נמוכה. במצב שבו אחד הצ’ילרים מפסיק לפעול, עלול להיגרם נזק משמעותי למערכות.

ברגע נתון התקבלה התראה בחדר הבקרה שאחד הצ’ילרים הפסיק לפעול. בניסיון להפעיל אותו מחדש, נראתה תופעה שהמנוע מתחיל לפעול ומיד מפסיק. השאלה הראשונה שעליה צריך לענות היא: האם מדובר בתקלה או במתקפת סייבר?

זיהוי התקלה: תקלה טכנית או מתקפת סייבר?

התוצאה בשני המקרים היא זהה – שיבוש של מערכות הקירור. מכאן מתחיל הליך חקירה שבו נבדקת או נשללת אחת מן האפשרויות. הדרך לבצע זאת היא לנטר לוגים במערכת, תעבורה ומערכות קשורות על מנת לאתר את מקור התקלה או התקיפה. כפי שתואר קודם לכן, ניטור מערכות מתבצע באמצעות שימוש ב-SPAN PORT, והתעבורה מאותו ה-PORT מוזרמת אל המערכות השונות לניתוח ומתן התראות.

במהלך החקירה ניתן היה להבחין בקיום תקשורת בין בקר (PLC) בפרוטוקול MODBUS לבין כתובות IP שונות. בבדיקה של תעבורה זו, התגלתה תופעה מעניינת: על כל שליחה של פקודת הדלקה של הבקר האחראי על הצ’ילרים, מיד נשלחה פקודת כיבוי.

חקירת האירוע: תקלה או מתקפת סייבר?

השאלה העיקרית שנשאלת היא האם מדובר בתקלה של אחד המהנדסים – הגדרה שגויה, תכנה שגויה, או עדכון שלא הצליח – או האם מדובר במתקפת סייבר? חקירה מעמיקה יותר גילתה כי אכן קיימת תכנה זדונית על גבי מחשב ה-engineering work station – המחשב שמשמש את המהנדסים לעדכן הגדרות או תכנה על גבי הבקר או המערכות השונות הקשורות לרשת ה-SCADA. התכנה מאזינה לרשת וברגע שנשלחת פקודת MODBUS להדלקה, מיד נשלחת פקודה זהה לכיבוי. נראה על פי ההתנהגות כי זוהי תכנה זדונית שמטרתה למנוע הדלקה של מערכות הקירור.

אופן הפעולה של תכנת התוקף

תכנת התוקף נדרשת לבצע את השלבים הבאים:

  • האזנה לתעבורת רשת באמצעות ממשק הרשת
  • זיהוי חבילות MODBUS
  • זיהוי פקודת Write Coil של MODBUS
  • שליחת פקודת OFF

בכל פעם שתשלח פקודת הדלקה, מיד תשלח פקודת כיבוי. הבעיה בפרוטוקול MODBUS היא שמדובר בפרוטוקול פשוט מאוד שנראה כך:

01 05 00 13 00 00 D9 9A

פירוט הפקודה:

  • 01: כתובת העבד (Slave Address)
  • 05: קוד הפונקציה לכתיבה של פלט בודד (Write Single Coil)
  • 00 13: כתובת הפלט (Coil Address), במקרה זה פלט מספר 20
  • 00 00: הנתונים שיכתבו ל-Coil (במקרה זה, כיבוי הפלט – OFF)
  • D9 9A: CRC (Checksum) לסיום ההודעה

פקודה זו תכבה את ה-Coil בכתובת 20.

קושי בזיהוי מתקפת הסייבר

נשאלת השאלה מדוע לא נתקבלה התראה בגין אירוע שכזה? ישנם מספר גורמים לכך:

  • הבקשה נשלחה כבקשה לגיטימית לכל דבר.
  • היא נשלחה ממקור אמין – תחנת ה-engineering.
  • פעולת כיבוי היא פעולה לגיטימית.

לכן, קשה מאוד לאבחן תקלות או אירועים מסוג זה. ההמלצות הכלליות הן:

  • יישום בקרות גישה חזקות: הגבלת הגישה לפורטים של SPAN ולמכשירי ניטור.
  • ניטור תצורת פורטים של SPAN: לבצע סקירות ובדיקות קבועות של התצורות.
  • שימוש במכשירי ניטור מאובטחים: לוודא שמכשירים המחוברים לפורטים של SPAN מוגנים.
  • שקילת שיטות ניטור חלופיות: חקר אפשרויות כמו TAPs רשת.
  • יישום פילוח רשת: לחלק את הרשת למקטעים קטנים יותר.
  • הגבלה על ביצוע =פעולות כיבוי: דרישה להזדהות כפולה בעת ביצוע פעולות מסוג זה.

סיכום

תחכום המתקפות, לצד נגישות לרכיבים שהיו בעבר יקרים וקשים להשגה, מאפשרים בניית מודלים של מערכות אמיתיות בעלות נמוכה. כך התוקפים בונים מודלי אימון שמגדילים את סיכויי הצלחת התקיפה. קיימות מספר “פרות קדושות” בתחום, וביניהן רגישות המערכות, מניעת השימוש בפעולות אקטיביות והתלות ב-SPAN PORT – שעליהן יש לשקול מחדש.

נמרוד לוריא הוא היזם וה-CTO של חברת IO01, המפתחת טכנולוגיות להגנת מערכות IOT ותשתיות קריטיות.

נמרוד לוריא, 01IO

כתבות קשורות

תגובות סגורות