האם רשת החשמל בצפון אמריקה חשופה לנוזקה בתוכנת סולארווינדס?

הרגולטור של רשת החשמל בצפון אמריקה דרש אתמול (ד') מכל חברות החשמל באזור לדווח עד כמה הן חשופות לתוכנת אוריון של סולארווינדס, שעומדת במרכז מתקפת הסייבר הענקית, שפגעה במאות ארגונים – ממשלתיים ופרטיים – בעיקר בארצות הברית. בהודעה ששלח לחברות המפעילות את הרשת התריע הרגולטוור בפניהן כי הפגיעות בתוכנה מהווה "איום פוטנציאלי" על חלקים ממערכות החשמל.

הרשות לאמינות החשמל בצפון אמריקה (NERC) – רגולטור שפועל בארצות הברית ובקנדה – מסרה כי נכון לעכשיו, אין ראיות שמצביעות על כך שהנוזקה השפיעה על מערכות החשמל. עם זאת, נכתב, "העובדה כי נעשה שימוש בתוכנות סולארווינדס, שבסיסה בטקסס, הפכה את מגזר החשמל לענף שדרוש שיהיה בו יתר ערנות. קיומן של תוכנות אוריון ברשתות הארגוניות של תשתיות קריטיות כחשמל חושפת אותן לפגיעות ולניצול של APT (איום מתמשך ומתקדם), ומהווה איום פוטנציאלי על אמינות מערכות הכוח".

בהודעה ביקשה הרשות מהחברות שהיא משמשת כרגולטור עליהן לענות על סדרת שאלות בנוגע לרגישותן למתקפה: האם בשירותים שלהן מותקנים מוצרי סולארווינדס? האם התוכנות מותקנות אצלן בגוף ה-IT או ה-OT? האם יש להן מידע או אינדיקציות על פעילות חשודה ברשתות הארגוניות שלהן, או פריצה אליהן?

האקרים רוסים גרמו בעבר להפסקות חשמל באוקראינה

לקבוצות האקרים שהן שלוחות הקרמלין יש היסטוריה של פעולות המשבשות את הפעילות של ארגוני תשתיות חשמל באוקראינה. למרות זאת, לא נמצא קשר בין APT29, או Cozy Bear (דובי חמים ונעים) – הקבוצה שחשודה במתקפת הענק האחרונה בארצות הברית, למתקפות שאירעו באוקראינה ב-2015 וב-2016. במסגרת אותן מתקפות, שנערכו במהלך חגי סוף דצמבר 2015, האקרים רוסים גרמו להפסקת חשמל במדינה השכנה, בשל מתקפת סייבר שפגעה בכמה מאות אלפי בני אדם, ולפי אחד הדיווחים – 700 אלף. המתקפה נגרמה מווירוס שהביא לניתוק תחנות כוח מהרשת. התוקפים השתמשו בסוג של נוזקה שמחקה קבצים ממערכות מחשב וכיבתה אותן – מה שגרם להפסקת החשמל רחבת ההיקף.

לפחות אחת מהמערכות המותקפות הייתה נגועה גם בנוזקה BlackEnergy. מומחי אבטחה ציינו ששילוב דומה היה בשימוש נגד כמה כלי תקשורת אוקראינים במהלך הבחירות המקומיות שנערכו באותה השנה במדינה.

המתקפות שגרמו להפסקת החשמל היו של קבוצה בשם Sandworm, שאובחנה עוד לפני כן כמי שהשתמשה באותה הנוזקה. הקבוצה תקפה את נאט"ו, חברות במגזר האנרגיה, מוסדות אקדמיים בארצות הברית וארגונים ממשלתיים באוקראינה, פולין ומערב אירופה – מה שהעלה את הסברות כי מקור קבוצת ההאקרים הוא ברוסיה.

תוכנה שנמצאת בשימוש נרחב בקרב ארגונים תעשייתיים

מומחים ציינו כי תוכנת סולארווינדס נמצאת בשימוש נרחב על ידי ארגונים תעשייתיים – מייצור ועד חשמל, נפט וגז, לצורך ניטור הרשת. המומחים העלו את ההשערה שחלק מאותם ארגונים אפילו לא מודעים לכך שהם מריצים את תוכנת אוריון. החשש בקרב כמה אנליסטים בתחום האבטחה התעשייתית הוא שהגישה שמאפשרת הדלת האחורית של אוריון פותחת את האפשרות להשתמש בה לשיבוש רשתות טכנולוגיה תפעולית (OT), שכוללות תוכנות רגישות אשר מתקשרות עם מכונות.

עוד הם אמרו שפעולת הרגולטור מעידה על ה-"משיכה" של קבוצת ההאקרים לפגוע גם במגזר הממשלתי.