עליה דרסטית בגילוי חולשות אבטחה במערכות בקרה תעשייתיות

חוקרי צוות Team82 של חברת קלארוטי (Claroty) הישראלית, מדווחים שבמחצית הראשונה של 2021 חלה עלייה של 41% בהיקף הגילוי של חולשות אבטחה במערכות בקרה תעשייתיות (Industrial Control Systems – ICS) בהשוואה לששת החודשים הקודמים. מדובר בעלייה משמעותית, לאור העובדה שבכל שנת 2020 הן גדלו ב-25% בלבד. מדובר ב-637 נקודות תורפה שנחשפו במערכות בקרה תעשייתיות, שכ-90% מהן הן בעלות מורכבות נמוכה, כלומר קל מאוד לנצל אותן והצלחת התקיפה מאוד ברורה.

חמור יותר הוא נתון הנזק הפוטנציאלי: 71% מהחולשות שהתגלו מסווגות כבעלות דרגת חומרה גבוהה מאוד, עד-כדי קריטית. חברת קלארוטי מתמקדת בתחום הסייבר התעשייתי. היא הוקמה בשנת 2015 באמצעות קבוצת Team8 שהוקמה על-ידי יוצאי 8200. עד היום היא גייסה כ-235 מיליון דולר ומעסיקה כיום כ-200 עובדים בעולם, יותר ממחציתם במרכז הפיתוח בתל אביב. בין המשקיעים האסטרטגיים בחברה, יצרני מכונות ומערכות בקרה תעשייתיות דוגמת סימנס, שניידר אלקטריק ורוקוול. מנכ"ל החברה הוא יניב ורדי. מתוך החולשות שהתגלו השנה, 70 התגלו על-ידי קלארוטי.

בחודש מאי 2021 היא דיווחה על גילוי חולשת אבטחה חמורה בבקרי SIMATIC S7 1200/1500 של חברת סימנס, הנמצאים בשימוש נרחב בתעשייה. החולשה הזו מאפשרת לתוקפים להחדיר קוד בצורה סמויה, שאיננה ניתנת לזיהוי, לתוך מערכת ההפעלה של הבקר ולהעניק לתוקפים יכולות מתקדמות יותר מאלה של Stuxnet, שהיה אחראי להשחתת חלק גדול מהסרקזות של תוכנית הגרעין האיראנית. כך למשל, היא מאפשרת לתוקפים להשתיל בבקר התעשייתי וירוס או תולעת אשר משבשים את פעולתו, בשעה שהוא מפיק דיווחי סרק המציגים חיווי של "סטטוס תקין" כביכול בכל המערכות.

פימי במו"מ למכירת חלקה ביוניטרוניקס

הבורסה לניירות ערך בתל אביב הפסיקה זמנית את המסחר במניות חברת יוניטרוניקס (Unitronics), כדי שתספק הבהרות בעקבות ידיעות על מו"מ המתנהל בין בעלת השליטה בחברה, קרן פימי, לבין חברה איטלקית, למכירת מניות פימי בחברה. לפי הידיעה שהתפרסמה בכלכליסט, קרן פימי המחזיקה בכ-50% ממניות יוניטרוניקס, מנהלת משא ומתן עם תאגיד התעשייה האיטלקי בונפיליולי רידוטורי (Bonfiglioli riduttori) למכירת חלקה ביוניטרוניקס לפי מחיר הגבוה ב-20%-30% ממחיר המנייה בשוק.

יוניטרוניקס פועלת מאירפורט סיטי שליד נתב"ג ומעסיקה כ-130 עובדים. ברבעון הראשון 2021 הסתכמו מכירותיה בכ-34.2 מיליון שקל, והרווח הגולמי בכ-15.5 מיליון שקל (45%). המוצר המרכזי של החברה הוא בקרים משולבים הכוללים ביחידה אחת גם את החומרה והתוכנה שעליהם הבקר מבוסס וגם את ממשק המשתמש של הבקר. בחודש ינואר 2021 היא הרחיבה את המודל העסקי עם ההכרזה על פלטפורמת UniCloud לשירותי ענן המאפשרת ללקוחות לחבר את הבקרים שלהם אל יישומי ענן ולהפיק מהם מידע עסקי חיוני. המוצר מאפשר לחברה לספק שירות מתכונת SaaS שבו הלקוחות יחויבו בתשלום חודשי עבור השירות.

פימי הכפילה את שווי ההשקעה

החברה נסחרת לפי שווי שוק של כ-302 מיליון שקל, מכאן שבמידה והעיסקה תתבצע, פימי עשויה לקבל כ-151 מיליון שקל. פימי רכשה את מניות יוניטרוניקס בשנת 2016 תמורת כ-110 מיליון שקל. אלא שהרווח של פימי גדול בהרבה, מכיוון שבחודש מרץ 2019 התפצלה יוניטרוניקס לשתי חברות ציבוריות נפרדות: יוניטרוניקס הממוקדת בפיתוח וייצור בקרים לוגיים מיתכנתים, וחברת יוטרון הפועלת בתחום הצומח של מחסנים אוטומטיים וחניונים אוטונומיים.

כיום מחזיקה פימי בכ-44% ממניות יוטרון, אשר נסחרת בבורסה בתל אביב לפי שווי שוק של כ-190 מיליון שקל. פירוש הדבר ששווי אחזקותיה כיום ביוטרון וביוניטרוניקס מסתכם בכ-235 מיליון שקל – יותר מפי שניים מהיקף ההשקעה המקורי שלה. יוניטרוניקס לא הכחישה את הידיעה, אולם הבהירה שעדיין אין הסכם: "מעת לעת החברה מקבלת פניות מגופים שונים, ובוחנת ומקיימת שיחות בדבר אפשרות ביצועם של מהלכים אסטרטגיים, לרבות מיזוג או רכישה. יובהר כי לא גובשו כל הסכמות קונקרטיות בין החברה לצד כלשהו בדבר עסקה כלשהי. כמו-כן, כפי שנמסר לחברה מבעלת השליטה, גם מצדה לא גובשו כל הסכמות כאמור".

 

קלארוטי גייסה 140 מיליון דולר

חברת הסייבר התעשייתי התל אביבית קלארוטי (Claroty) הודיעה היום על השלמת גיוס בסך 140 מיליון דולר בסבב D. על פי מאגר הנתונים Crunchbase, זהו סבב ההשקעה הגדול ביותר אי-פעם של חברת סייבר תעשייתי. הסכום שגויס ישמש את קלארוטי להמשך ההתרחבות הגלובלית במגזרי התעשייה ולגיוס עובדים. את הסבב הובילו קרן הצמיחה Century II של Bessemer Venture Partners, שהוקמה במטרה להשקיע בחברות צמיחה, וקרן 40 North, שהיא זרוע ההשקעות של Standard Industries. משקיעים אסטרטגיים נוספים שהשתתפו בסבב הם LG וקרן ההשקעות של I Squared Capital, וכן המשקיעים הקודמים בחברה: Team8, סימנס, רוקוול ושניידר אלקטריק. בסך הכל, עד היום גייסה קלארוטי כ-235 מיליון דולר.

קלארוטי עובדת בשיתוף פעולה הדוק עם חברת התרופות Pfizer בכדי לאבטח את שרשרת האספקה של חיסוני הקורונה. בחודש שעבר היא חשפה חולשת אבטחה חמורה בסדרת הבקרים העדכנית של סימנס SIMATIC S7 1200/1500, הנמצאים בשימוש נרחב בתעשייה. החולשה הזו מאפשרת לתוקפים להחדיר קוד בצורה סמויה, שאיננה ניתנת לזיהוי, לתוך מערכת ההפעלה של הבקר. מדובר ביכולת הנחשבת ל"גביע הקדוש" של האקרים, ואשר הושגה עד עתה רק במקרים בודדים, שאחד מהם הוא Stuxnet שהשחית חלק גדול מהסרקזות של תוכנית הגרעין האיראנית.

חברת קלארוטי מתמקדת בתחום הסייבר התעשייתי. היא הוקמה בשנת 2015 באמצעות קבוצת Team8 שהוקמה על-ידי יוצאי 8200. החברה מעסיקה כ-200 עובדים בעולם, יותר ממחציתם במרכז הפיתוח בתל אביב. החברה דיווחה על גידול של 110% במספר הלקוחות בשנה האחרונה. בעקבות הגיוס החברה צפויה להגדיל את כוח האדם בכ-50% עד סוף השנה. הפלטפורמה של קלארוטי, Claroty Platform, מתחברת אל התשתיות הקיימות של הלקוח, ומספקת מגוון מלא של בקרות אבטחת סייבר תעשייתיות לגילוי איומים, ניהול סיכונים וחולשות אבטחה, וגישה מרחוק מאובטחת.

חשפה 120 חולשות אבטחה בבקרים תעשייתיים

צוות החברה חשף עד היום יותר מ-120 חולשות אבטחה חדשות בתחומי הבקרים התעשייתיים (ICS). כך למשל, בחודש ספטמבר 2020 היא חשפה חולשות אבטחה קריטיות בתוכנת CodeMeter של חברת Wibu-Systems AG, שהיא אחת מהתוכנות הנפוצות בעולם המותקנת במערכות בקרה תעשייתיות. החולשות שהחברה גילתה מאפשרות לעקוף את החתימות הדיגיטליות המגינות על המוצר, לשנות רישיונות קיימים ואפילו לזייף רישיונות תקפים. משנת 2020 חלה עלייה ניכרת בתדירות ובהיקף הנזק של מתקפות סייבר נגד ארגונים שנמצאים בבסיס התשתית הקריטית ושרשרת האספקה העולמית. על פי Cybersecurity Ventures, הנזק ממתקפות כופרה צפוי להגיע עד שנת 2031 ל-265 מיליארד דולר, לעומת 20 מיליארד דולר בלבד ב-2021.

מנכ"ל קלארוטי, יניב ורדי (בתמונה למעלה), אמר שהמשימה של החברה היא לאפשר נראות, המשכיות עסקית ועמידות לארגונים בכל מגזרי התעשייה. "הפתרונות שלנו מגינים ביעילות על כל המכשירים וההתקנים של אתרי תעשייה המחוברים לרשת, לרבות כל נכסי הטכנולוגיה התפעולית (OT), האינטרנט של הדברים (IoT) וה-IoT התעשייתי (IIoT). ההשקעה החדשה, בהשתתפות הקרנות והארגונים המובילים בעולם, מספקת את הדלק הדרוש לנו כדי להמריא על בסיס אסטרטגיית המוצרים המוכחת שלנו בשוק צומח במהירות, עם צוות הנהלה ברמה עולמית ורשת שותפים חזקה".

חולשות אבטחה מסכנות מאות-אלפי בקרים תעשייתיים בארץ ובעולם

בתמונה למעלה: אמיר פרמינגר, סמנכ"ל המחקר של קלארוטי. צילום:קרן מזור

מחלקת המחקר של חברת קלארוטי (Claroty) הישראלית חשפה חולשות אבטחה קריטיות באחת מהתוכנות הנפוצות בעולם המותקנת במערכות בקרה תעשייתיות (Industrial Control Systems- ICS). מדובר בתוכנת CodeMeter של חברת Wibu-Systems AG. התוכנה נועדה להגן על יצרני תוכנה מפני הונאה, הפצה פיראטית וביצוע מניפולציה בקוד קנייני. בין השאר, היא מבצעת הצפנה של התוכנות בבקר התעשייתי, כדי להגן עליו מפני התעסקות לא מורשית, הנדסה לאחור, פיראטיות ועוד.

התוכנה נמצאת במכונות ייצור ובמערכות בקרה קריטיות, שבהן היא מותקנת כרכיב צד שלישי בתוך התוכנה של היצרן המקורי. החוקרים שרון בריזינוב וטל קרן מצוות המחקר של קלארוטי, גילו את החולשות והעריכו שעשרות חברות ישראליות נחשפו לחולשות אבטחה האלה, מאחר והן עושות שימוש במערכות ICS שבהן מותקן CodeMeter. החולשות שהתגלו מאפשרות לעקוף את החתימות הדיגיטליות המגינות על המוצר ולשנות רישיונות קיימים או לזייף רישיונות תקפים.

איטיות מחרידה

רישיונות מזויפים אלה יכולים לשמש לביצוע תקיפות נוספות: משתילים אותם באתר הנמצא בשליטת התוקף ומפתים קורבנות להיכנס אליו באמצעות הנדסה חברתית. על-ידי כך "מזהמים" את המחשב שלהם, והוא מעביר את הזיהום הלאה, אל מתקן הייצור או הבקרה שמולו הוא עובד. כדי לסייע ללקוחות לדעת האם הם חשופים לפגיעות, קלארוטי העלתה לרשת כלי מקוון המספק חיווי מיידי אם ה-CodeMeter ברשות המשתמשים אכן פגיע. לביצוע הבדיקה הקליקו כאן: CodeMeter Vulnerability Tester.

כמקובל בתחום האבטחת הסייבר, הממצאים הועברו מיד לחברת Wibu-Systems, אולם שלא כמקובל בתעשייה, התגובה של יצרנית התוכנה היתה איטית להחריד: היא קיבלה את המידע בחודש פברואר 2019, ורק באוגוסט 2020 היא שחררה גרסת תוכנה (CodeMeter v7.10) הכוללת את כל התיקונים הנחוצים. גם בחברת קלארוטי הרימו גבות בתדהמה לנוכח האיטיות הזאת.

צילום מסך של חוקרי קלארוטי, המראה ניצול של אחת מהחולשות שהתגלו בתוכנת CodeMeter
צילום מסך של חוקרי קלארוטי, המראה ניצול של אחת מהחולשות שהתגלו בתוכנת CodeMeter

בראיון ל-Techtime הסביר סמנכ"ל המחקר של קלארוטי, אמיר פרמינגר, שרמת האבטחה של בקרים תעשייתיים היא ירודה ביותר, עד-כדי לא קיימת במקרים רבים. פרמינגר: "המצב בתעשייה רע מאוד. אנחנו מבצעים מחקרים רבים לאיתור חולשות, אבל במקרים רבים מתאר התקיפה כלל לא זקוק לזיהוי של חולשה, מכיוון שהבקרים פשוט לא מאובטחים". הבעיה, הוא מסביר, נובעת משתי סיבות מרכזיות: ההיסטוריה של תחום הבקרים התעשייתיים והמודעות הנמוכה של המשתמשים בתעשיית הייצור והבקרה.

הבקרים לא תוכננו לאינטרנט, אבל התחברו אליה

"הבקרים המיתכנתים התפתחו כמערכות פשוטות שהיו מקושרות אל המכונות או אל מרכזי פיקוד מקומיים בערוצים ייעודיים, כמו למשל ערוץ התקשורת הטורית RS-232 או בערוצים קנייניים של היצרנים. מכיוון שאלה מערכות סגורות שאינן מתחברות לרשת, ומכיוון שחלק גדול מהן מבוסס על מיקרו-בקרים פשוטים, לא הותקנו בהן אמצעי הגנה בסיסיים ביותר כמו למשל דרישת ססמא או הצפנת מידע. בשנים האחרונות התעשייה מאמצת את פרוטוקול האינטרנט (IP) כערוץ התקשורת המרכזי לכל היישומים, וכאן נוצרה בעיה חדשה: מערכות שאין להן תשתיות הגנה הולמות המקושרות אל תשתית האינטרנט".

לכך יש להוסיף מרכיבים נוספים: בקרים רבים מופיעים כשהם כבר משולבים בתוך המערכות ולכן המשתמשים לא תמיד מודעים לקיומם, לאופן שבו יש יש לטפל בהם ולעתים אפילו לעצם העובדה שהם מקושרים. "רוב הבקרים מהדור החדש מחוברים לרשת IP, אולם או שאין בהם אפילו דרישה להתקנת ססמא או שהמפעילים לא מודעים לצורך בהתקנת ססמא. קל מאוד לחדור אליהם, להפעיל את תוכנת הבקרה הנדסית ולהשיג שליטה בבקר המותקף".

כיצד אתם מספקים פתרון לבעיה הזו?

"אחד מהפתרונות שלנו, Continuous Threat Detection למשל, מבוסס על כך שאנחנו מקבלים מהלקוח את כל הנתונים העוברים במתג שלו. אנחנו מנתחים אותם ומזהים את כל הפרוטוקולים של ספקי הציוד השונים. המערכת מבצעת מיפוי מלא של כל רשתות הבקרה, כולל זיהוי הרכיבים ואיזה גרסאות תוכנה מותקנות בהן. בשלב הבא אנחנו משווים את הממצאים אל בסיס הנתונים שלנו ומזהים מה הן החולשות של כל אחד מהרכיבים וממליצים על אמצעי ההגנה הדרוש.

"לאחר מכן אנחנו מבצעים מעקב אחר התנועה ברשת של הלקוח, מנתחים אותה ומזהים פעילות לא שגרתית או לא צפויה של הבקר (Anomaly Detection), אשר מלמדת על פגיעה בו". חברת קלארוטי הוקמה בשנת 2015 באמצעות קבוצת Team8 שהוקמה על-ידי יוצאי 8200. עד היום היא גייסה כ-100 מיליון דולר ומעסיקה כיום כ-180 עובדים בעולם, יותר ממחציתם במרכז הפיתוח בתל אביב. בין המשקיעים האסטרטגיים בחברה, יצרני מכונות ומערכות בקרה תעשייתיות דוגמת סימנס, שניידר אלקטריק ורוקוול.