איראן תקפה בסייבר מתקן מים בפנסילבניה – כמו שעשתה בישראל

הממשל הפדרלי בארה"ב חוקר מתקפת סייבר שבוצעה על תשתית בחברת מים שבמחוז ביבר שבפנסילבניה. את המתקפה ערכה קבוצת האקרים איראנית, ודפוס הפעולה של המתקפה דומה לזה שחוותה ישראל מידי ההאקרים חברי הקבוצה בעבר.

האקרים הקשורים למשמרות המהפכה של הרפובליקה האסלאמית של איראן – הצליחו לפרוץ ל-בקר בתחנת מים מרוחקת. מומחי אבטחה ציינו כי חברי הקבוצה נוטים להתפאר בהצלחות של מבצעי פריצה – באופן מוגזם, או שקרי.

בסוף השבוע הנפיקו במשותף מערך הסייבר הלאומי של ישראל וגופי הגנת הסייבר האמריקנים, בהם CISA, FBI, NSA וכן הסוכנות האמריקנית להגנת הסביבה – מסמך המתריע מפני פעילות סייבר של קבוצות תקיפה איראניות כנגד בקרים תעשייתיים, ביניהם במגזר המים בארה"ב. "יודגש כי עד כה לא נצפתה באחרונה מתקפה שהצליחה לשבש בקרי מים בישראל", נמסר בהודעה.

הקבוצה "בלא ספק ממשמרות המהפכה"

ההאקרים, המכנים את עצמם סייבר אוונג'רס (Cyber Av3ngers), הצליחו להשיג שליטה על מכשיר אחד לפחות ברשות המים העירונית של אליקיפה שבפנסילבניה. ההאקרים פרצו לתחנת מים מרוחקת, המווסתת את הלחץ עבור שתי עיירות בנות אוכלוסייה של מעט יותר מ-7,000 איש.

רוברט ביבל, מנכ"ל רשות המים, אמר שמעולם לא היה איום על זמינות המים, ושברגע שהבינו שהפריצה התרחשה, החברה עברה לפעולה ידנית.

אריק גולדשטיין, עוזר בכיר למנכ"ל CISA, הסוכנות לאבטחת סייבר ותשתיות, אמר כי "הסוכנות מודעת לפריצה ונמצאת בקשר הדוק עם שותפים במגזר המים וסוכנויות פדרליות – כדי להבין את המצב המתפתח הזה".

מתיו מוטס, יו"ר מועצת המנהלים של רשות המים, אמר כי "ההאקרים לא הצליחו להשיג – בפועל – גישה לדבר כלשהו במפעל טיהור המים שלנו, או לחלקים אחרים של המערכת – מלבד משאבה שמווסת לחץ לאזורים גבוהים במערכת. המשאבה שלחה התרעה למפעילים ואלה השתלטו ידנית על התחנה".

למרות שהתקרית לא הסבה נזק, מומחי אבטחה ציינו כי "העובדה שהאקרים הקשורים לאיראן הצליחו לכפות על חברת מים בארה"ב לפעול ידנית בעקבות פריצה – מדגישה את הצורך באבטחת תשתיות קריטיות. מדובר בשורה מתמשכת של חדירות רשת טריוויאליות לארגוני תשתית קריטית – המזניחים את היישום של אמצעי אבטחה בסיסיים".

ביולי, הקבוצה טענה כי תקפה את בתי הזיקוק בישראל. בספטמבר טענה הקבוצה להתקפות על תשתית רכבת ישראל. בחודש שעבר, הקבוצה התפארה שפרצה למתקן חשמל של דוראד. שלושת ההכרזות התגלו כלא נכונות.

מומחה לאיומי סייבר שמכיר את הקבוצה אמר לעיתונות הטכנולוגית בארה"ב כי חברי הקבוצה "הם בלא ספק ממשמרות המהפכה. הקבוצה מציגה קישורים לחיילי שלמה (Soldiers of Solomon), ישות דיגיטלית הקשורה למשמרות המהפכה ופעילה מאז מתקפת החמאס ב-7 באוקטובר".

מומחה אחר ציין כי פעמים רבות ההאקרים האיראנים מתרברבים בהצלחה של מתקפות שנכשלו, כחלק מהלוחמה הפסיכולוגית שלהם – מסרים התוקפים את ישראל.

We (Cyber Av3ngers) have infiltrated to 10 Water treatment stations located in Hedera, Palmachim, Sorek, Ashkelon, Haifa, Chorazim, Kfar Haruv, Taberiye, Eilat and Daniyal.@CyberAveng3rs #CyberAv3ngers pic.twitter.com/bE8tFw8baa

— CyberAv3ngers (@CyberAveng3rs) October 30, 2023

סייבר אוונג'רס מכה שנית

באפריל השנה מתקפת סייבר השביתה בקרי מים של לפחות עשרה חקלאים בעמק החולה, בעמק הירדן ובאזורים נוספים בישראל, והובילה להפסקת ההשקייה בשטחים אלה. על בקרי המים הופיעה ההודעה "You Have been hacked, Down with Israel". בקרי המים מנטרים את מצב השטח ואת מזג האוויר ומחליטים באיזו כמות יש להשקות ומתי.

יוניטרוניקס, שמייצרת את בקרי המים שנפרצו, מסרה אז כי "בקרי החברה המשולבים במערכות שהותקפו באירוע מאפשרים יכולת התאוששות מהירה, ופעלנו במהירות כדי להבטיח את סיומו המהיר של האירוע. כל בקרי החברה כוללים שכבות הגנת סייבר מובנות".

לפי צ'ק פוינט, "הקבוצה קשורה לקמפיין הסייבר האיראני נגד ישראל. היא ערכה כמה מתקפות בעבר, כולל על יוניטרוניקס – חברה ישראלית המספקת תוכנה המשמשת במערכות מים". מומחים ציינו כי במתקפה זו נראה שההאקרים הצליחו להשיג גישה לבקר תכנות לוגי של יוניטרוניקס, וכתבו על צגי המחשב של החברה "נפרצתם. להוריד את ישראל. כל ציוד 'תוצרת ישראל' הוא יעד חוקי של סייבר אוונג'רס".

CISA פרסמה התרעה בה נמסר כי "הסוכנות בוחנת ניצול פעיל של הבקרים האמורים, המשמשים במשק המים". מומחים ציינו כי הדבר מרמז שייתכן שיש יותר מתקרית אחת. הסוכנות אמרה שההאקרים ניצלו נוהלי אבטחה לקויים במתקן המים בפנסילבניה, וכי בין השאר, סיבות האירוע הן חיבור של הבקר לאינטרנט ושימוש של אנשי המתקן בסיסמה גרועה.

לפי צ'ק פוינט, סייבר אוונג'רס השיקה ערוץ טלגרם בשם Mr. Soul, ב-23 באוקטובר, כדי לגייס האקרים שיעזרו במתקפות שלה. כחלק משיטת הפעולה שלהם, נראה שהקבוצה ממקדת את ההאקרים שלה בניצול נקודות תורפה ידועות של Microsoft Exchange – מתוך תקווה שהן לא תוקנו".

לפי המערך, "סייבר אוונג'רס נצפו באחרונה מנסים לפגוע בבקרים תעשייתיים של יוניטרוניקס".

הדו"ח מפרט את השיטות והטקטיקות, שנחשבות לא מתוחכמות, המשמשות קבוצה זו לפריצה או לניסיון לפריצה לבקרים אלו, וכן את הדרכים להתגונן מפניהן. ההתרעה מגיעה על רקע זיהוי של תקיפות מסוג זה החל מ-22 בנובמבר השנה ברחבי ארה"ב. סוכנויות הגנת הסייבר קוראות לכל ארגון המשתמש במוצרים מסוג זה להטמיע בהקדם את ההגנות ואת מזהי התקיפה המפורטים בדו"ח. בין הפעולות המומלצות להגנה: הטמעת מזהי התקיפה, החלפת סיסמת ברירת המחדל של הבקר, הטמעת אימות רב-שלבי, הטמעת חומת אש, הגדרת גיבוי ועוד.

הדו"ח מציין כי הקבוצה לקחה אחריות על מתקפות שלכאורה ביצעה בישראל מאז 2020 וכי חלק מהטענות שלה לתקיפות נמצאו מפוברקות. כמו כן, נכתב כי לקבוצה יש קשר מסוים לקבוצת התקיפה האיראנית המכנה עצמה חיילי שלמה. 

מ-18 באוקטובר גם קבוצת חיילי שלמה טענה למתקפות על כ-50 גופים, שרבות מהן התבררו כשקריות, ובהן גם ניסיונות לתקוף מצלמות אבטחה פרטיות.