קלארוטי חשפה חולשת אבטחה דמויית Stuxnet בבקרי ה-PLC של Rockwell

בתמונה למעלה: הבקר התעשייתי CompactLogix 5480. שייך לקבוצת הבקרים אשר נפגעים מהחולשה שזוהתה

חברת קלארוטי (Claroty) מתל אביב איתרה שתי חולשות אבטחה חמורות מהסוג של תולעת Stuxnet בבקרים התעשייתיים המיתכנתים (PLC) של חברת רוקוול אוטומציה (Rockwell Automation). החולשות שנחשפו עלולות לאפשר לתוקפי סייבר להריץ קוד זדוני על הבקרים, לשנות הלוגיקה שלהם ולשבש תהליכים קריטיים – מבלי שהמהנדסים העובדים על הפלטפורמה יידעו זאת.

תולעת Stuxnet היא תוכנת תקיפה נגד בקרי SCADA אשר התגלתה בשנת 2010 כאשר הותקפו הסרקזות האירניות ששימשו לייצור אורניום מועשר, ויצאו מכלל פעולה ללא ידיעת מפעיליהן. ראש צוות מחקר ב-Team82, שהיא קבוצת מחקרי הסייבר של קלארוטי, שרון בריזינוב, אמר שתוקף המצליח לשנות את הלוגיקה של בקרי ה-PLC יכול לגרום נזק ממשי למפעלי ייצור ומתקני תשתית קריטית. "הוא יכול לפגוע בפעילות קווי הייצור ובהתקנים הרובוטיים המבוקרים".

החולשות שהתגלו קשורות לשני מרכיבים שונים במערך הבקרה, ההפעלה והתיכנות: חולשת אבטחה אחת פוגעת בבקרים ממשפחת Logix של רוקוול אוטומציה, וקיבלה את דרגת הסיכון 10 (כלומר "מסוכנת ביותר"). החולשה השנייה התגלתה בסביבת הפיתוח (IDE) של רוקוול, Studio 5000 Logix Designer, שהיא התוכנה שהחברה מספקת כדי לתכנת את הבקרים. דרגת הסיכון של החולשה הזאת קיבלה את הציון 7.7 ("חומרה גבוהה").

קלארוטי דיווחה על החולשות לחברת רוקוול אוטומציה, אשר עידכנה את לקוחותיה, ופיתחה כלי ייעודי לניתוח הקוד בבקרים, אשר מאפשר לזהות ניסיונות להריץ בהם קוד נסתר. בנוסף, רוקוול אוטומציה פנתה ללקוחות במזכר מיוחד המפרט כיצד עליהם לפעול בהקדם, לצמצום הסיכון הנשקף מחולשות האבטחה החדשות שחשפו חוקרי Team82 של קלארוטי.

 

לקריאת התיאור של קלארוטי על החולשות שנחשפו:

Hiding Code on Rockwell Automation PLCs

 

רפאל מובילה את מאגד הסייבר להגנת תשתיות קריטיות

חברת רפאל מערכות לחימה מתקדמות (RAFAEL) מובילה את המאגד הישראלי החדש להגנת תשתיות קריטיות בפני תקיפות סייבר. המאגד החדש, IOTCC – Israeli Operational Technologies Cyber Consortium, מוקם בליווי מערך הסייבר הלאומי האחראי על הנחיית הגנת הסייבר בתשתיות קריטיות, ובהשתתפות 11 חברות ישראליות: חברת חשמל לישראל, Waterfall, Trapx, MobileGroup, Radiflow, CyberPro, XMCyber, Cervello, Cynerio וחברת תש"ן (תשתיות נפט ואנרגיה בע"מ).

סמנכ"ל פיתוח עסקי בחטיבת אוויר ומודיעין ברפאל, גידי וייס, אמר שהמאגד יציב את מדינת ישראל כמובילה בתחום הבקרה התעשייתית (Operational Technologies -OT) בעולם. "המאגד ישלב את כל טכנולוגיות אבטחת הסייבר שפותחו על-ידי החברות השותפות בומאגד. הוא יעניק לנו גמישות מסחרית וישפר את היכולת של רפאל לשתף פעולה עם תעשיות ועם ארגוני הגנת סייבר בשווקים שלנו". כיום רפאל מספקת הגנת סייבר לגופי תשתית קריטיים כמו רכבת ישראל ומאגר נתוני האשראי הלאומי. מטרת המאגד היא לפתח פתרונות מקיפים להגנת שירותים ותשתיות קריטיות ברמה הלאומית, כמו תשתיות תחבורה, נפט וגז, ייצור, מים וביוב ותשתיות אנרגיה.

הנושאים האלה קיבלו עדיפות גבוהה בתוכנית העבודה של מערך הסייבר הלאומי. מדו"ח הפעילות השנתית שלו שפורסם באפריל 2021, עולה שבחודש אפריל 2020 זוהה ניסיון למתקפת סייבר על מערכות שליטה ובקרה במגזר המים בישראל, בניסיון .לפגוע במערכות השליטה והבקרה של מכוני טיהור שפכים ותחנות שאיבה וביוב השייכים לספקי מים מקומיים במרחב הכפרי. במקביל, מוקמת בימים אלה מעבדת ICS לאומית שתתמחה בתחום ההגנה על בקרי SCADA בתחום התשתיות הקריטיות. המעבדה תספק סביבה המדמה תשתיות OT תעשייתיות, על-מנת לאפשר לגופים שונים לבחון כלים ומתודולוגיות להגנת הסייבר.

למאבק הזה יש היבטים מפתיעים: כיום בוחן מערך הסייבר הלאומי את הקמתה של רשת סנכרון זמן מדינתית, במטרה לספק לארגונים בישראל שעון זמן מדוייק ומוגן. זאת מכיוון שהשיבוש של מנגנוני סנכרון זמן (באמצעות תקיפת סייבר) עשוי לייצר פגיעה נרחבת בתיפקוד של גופי תשתית, פיננסים ותקשורת. חברת רפאל מעסיקה כ-8,000 עובדים באופן ישיר ועוד כ-20 אלף בתי-אב באופן עקיף. בשנת 2020 הסתכמו מכירותיה בכ-9.45 מיליארד שקל. צבר ההזמנות שלה מסתכם בכ-9.9 מיליארד שקל.

סייברביט פיתחה ערכה ניידת להגנת סייבר על מערכות תעשייתיות

חברת הסייבר סייברביט (CyberBit), שבבעלות  ב אלביט מערכות, פיתחה ערכת חירום ניידת הכוללת כלי סייבר לזיהוי פרצות ברשתות בקרה תעשייתיות ((ICS. המערכת מאוחסנת בתוך מזוודה חסינה בפני מים, שמשקלה כ-12 קילוגרם בלבד, והודות לכך היא קלה לשינוע ברכב או במטוס. הערכה מאפשרת לבצע לפי דרישה, במתקן עצמו, הערכה מהירה ברשתות תעשייתיות וזיהוי נקודות תקופה, וזאת ללא צורך בהטמעה של פיתרון מלא.

כיום, בשל הממשק ההדוק בין רשתות תקשורת לבין מערכות התפעול והליבה במפעלים ומתקני תשתית, רשתות הבקרה התעשייתיות (ICS/SCADA), האחראיות על פיקוח וניטור תהליכי הייצור והתפעול, הינן יעד רגיש למתקפות סייבר. חדירה לרשת ה-ICS/SCADA עלולה להוביל לפגיעה במערכות התפעול ולשבש את פעילות הייצור או תפקוד התשתיות.

הערכה החדשה של סייברביט מתבססת על פלטפורמת SCADAShield OT של סייברביט להגנה על מערכות תפעוליות תעשייתיות, קווי ייצור, רשתות חשמל ומרכזי מידע, והיא הותאמה במיוחד כדי לשמש כלי תגובה ראשונה בידי חברות סייבר ומנהלי רשתות תעשייתיות לצורך ביצוע הערכות מצב מהירות בשטח.. הערכה מתחברת באופן פסיבי לרשת הבקרה התעשייתית דרך פתח ה-SPAN של מתג הרשת, מנטרת את דפוסי התנועה ברשת ותוך מספר שעות מספקת תמונת מצב על מצב אבטחת הסייבר של המערכות התפעוליות ולזהות נקודות תורפה אפשריות כמו מכשירים שמוגדרים בצורה לקויה או בלתי מוגנים, תקשורת לא מוצפנת ולספק כלי מניעה ראשוניים. הערכה תומכת במגוון רחב של פרוטוקולים ומתאימה לרשתות בתחום התשתיות, גז והנפט, שדות תעופה, בניינים חכמים, תחנות כוח ועוד.

מנכ"ל סייבר ביט עדי דר סיפר כי הרעיון לפיתוח ערכת סייבר ניידת לתגובה ראשונה נולד מתוך צורך של לקוחות החברה לפיתרון נייד המצויד בכלים מניעתיים להתמודדות מהירה בעקבות פריצה. "הם היו זקוקים לפיתרון נייד, גמיש, מוקשה ומאפשר גישה קלה לרשת, ומשום כך פיתחנו גרסה ניידת המתבססת על הפיתרון הקיים שלנו לניטור רשתות תעשייתיות."

אלביט הקימה את סייברביט ב-2015 לאחר שרכשה את חטיבת הסייבר והמודיעין של נייס תמורת 158 מיליון דולר. בתחילת 2018 ביצעה אלביט ארגון מחדש בפעילות סייברביט שנועד למקד את החברה בתחום אבטחת הסייבר האזרחית. במסגרת המהלך הועברו פעילויות הסייבר הביטחוני ומודיעין הסייבר של סייברביט אל חטיבת היבשה והתקשו"ב של אלביט מערכות, ואילו פעילות הסייבר האזרחי נשארה בחברה.