ב-2023, תשתיות קריטיות בעולם ספגו 13 מתקפות סייבר מדי שנייה

השנה החולפת הייתה גרועה בהיבט מתקפות סייבר על תשתיות קריטיות בעולם: ארגונים בכל מגזרי הפעילות – ציוד רפואי, חשמל, תקשורת, פסולת, ייצור ותחבורה – היו תחת מתקפה מתמדת.

לפי חברת הסייבר הישראלית במקור פורסקאוט (Forescout), בשנת 2023 נרשמו יותר מ-420 מיליון מתקפות על ארגונים בתחום, משמע – 13 התקפות בשנייה – נתון המשקף עלייה של 30% מ-2022.

למרות האתגרים האדירים שמציב הזינוק המתמשך בפעילות הסייבר, יש מעט אופטימיות: אליסה קוסטנטה, סמנכ"לית מחקר ב-פורסקאוט, אמרה כי "יש להדגיש את הפוטנציאל לשינוי חיובי. אמנם נכון שהמאמצים הנוכחיים נכשלו ברתימה מלאה של הטכנולוגיה לחיזוק ההגנה על נכסים קריטיים וניהול והערכת סיכונים, אך יש פה הזדמנות לשיפור".

אליסה קוסטנטה, סמנכ"לית מחקר ב-פורסקאוט. צילום: יח"צ

הממצאים המדאיגים שעלו בדו"ח

הדו"ח של פורסקאוט מעלה חמישה ממצאים מדאיגים עיקריים בתחום. הראשון: "Log4j – עדיין לא רדומה". Log4j היא ספריית קוד פתוח מבוססת ג'אווה והיא חלק ממיזמי קרן התוכנה אפאצ'י, המשמשת לניהול קבצי לוג.

בשנים האחרונות נחשפה חולשת Log4j, והיא דורגה ברמת החומרה הגבוהה ביותר. החולשה נמצאת בכל מקום ברשת – ממיינקראפט ועד אפל וטסלה. הפגיעות החמורה בספריה בשם Log4j נוצלה בפועל לתקיפות בעולם. לפי החוקרים, "חלה ירידה בניצול החולשה למתקפות, אולם זו הובילה לעלייה בניצול שלה לביצוע מתקפות על תשתיות רשת ומכשירי האינטרנט של הדברים (IoT) – מצלמות IP, מערכות אוטומציה של בניינים, מערכות אחסון NAS, ועוד. מצב זה מדגיש את הצורך בגישה פרואקטיבית ומקיפה לאבטחת סייבר, מעבר להסתמכות על פגיעויות ידועות".

כיכבה בדו"ח של פורסקאוט. ספריית הלוגים הפופולרית Log4j. צילום: BigStock

הממצא השני, לפי החוקרים הוא מתקפות בלתי פוסקות על טכנולוגיה תפעולית, OT, על  פרוטוקולים המכונים "Bear the Brunt".

לפי החוקרים, חמישה פרוטוקולים מרכזיים משמשים את התוקפים לביצוע של התקפות מתמשכות. "היעדים העיקריים כוללים פרוטוקולים המשמשים מגזרי אוטומציה תעשייתית וחשמל, כמו Modbus, האחראים לשליש מההתקפות, וכן – Ethernet/IP, Step7 ו-DNP3, שכל אחד מהם שימש לכ-18% מהמתקפות".

המגמה השלישית, לפי החוקרים, היא "שינוי טקטיקות לאחר ניצול". הם כתבו כי "מתקפות שהיו 'מתמידות' חוו זינוק של 50% מ-2022; מתקפות לגילוי פרצות חוו גידול של כ-25%; וביצוע מתקפות מבוססות חולשות צמח גם ב-25%. רוב הפקודות שנצפו בשימוש על ידי גורמי האיומים נשארו ממוקדות במערכות לינוקס גנריות, אולם נצפתה מגמה בולטת חדשה – פקודות ספציפיות המבוצעות עבור מערכות הפעלה רשתיות, תוך ניצול חדירה לנתבים הנמצאים בשימוש נרחב".

המגמה הרביעית, לפי החוקרים היא "משפחות הנוזקות נותרו חזקות". הם כתבו כי "משפחות הנוזקות התגלו כאיומים אדירים. הנוזקה טסלה RAT (ר"ת RAT), המשתלטת מרחוק וגונבת מידע, היוותה 16% מכלל הנוזקות שפעלו ב-2023. עוד נצפו בשנה החולפת גרסאות של הבוט Mirai, שאחזה בנתח שוק של 15%, והנוזקה לגניבת המידע Redline, שלה 10% מהפעילות. בין שרתי הפיקוד והשליטה, Cobalt Strike מתגלה כמנהיג הבלתי מעורער, עם נתח משמעותי של 46%, Metasploit 16%, ו-Sliver C2 13%".

"המגמה החמישית", סיימו החוקרים, "היא נפיצות האיומים על פני רוב הגלובוס – 163 מדינות".

חוקרי פורסקאוט פירטו כי "ארה"ב שימשה מטרה עיקרית, ו-168 שחקנים זדוניים תקפו אותה. מדינות אחרות שהותקפו הן: בריטניה (88), גרמניה (77), הודו (72) ויפן (66). מצד התוקף, מדובר ב'חשודים הרגילים': סין (155), רוסיה (88) ואיראן (45). אלו מייצגות יחד כמעט מחצית מכל קבוצות האיומים שזוהו. התוקפים כיוונו בעיקר לארגונים בשלושה מגזרים מרכזיים: ממשלה, שירותים פיננסיים ומדיה ובידור".

קוסטנטה סיכמה באומרה כי "המפתח להגנה טמון בהשגת נראות מקיפה, הבטחת מודעות תלויית הקשר בזמן אמת לגבי כל מכשיר, בין אם הוא מנוהל או לא. כך, ארגונים גדולים יכולים לעבור מהגנה תגובתית לגישה פרואקטיבית יותר, בלא להתחפר".