בראש הכותרות

שוב: איראן תקפה בסייבר תשתיות קריטיות בישראל ובארה"ב

לפי קלארוטי הישראלית, ההאקרים עשו שימוש בנוזקה מותאמת אישית כ"נשק סייבר" – לתקוף מתקני מים ודלק

15/12/2024 11:58
תקפו תשתיות קריטיות בישראל ובארה"ב. האקרים איראנים.
תקפו תשתיות קריטיות בישראל ובארה"ב. האקרים איראנים.צילום: Shutterstock

האקרים הפועלים בחסות ממשלת איראן עשו שימוש בנוזקות מותאמות אישית כדי לתקוף ולשלוט מרחוק במערכות ניהול מים ודלק בארה"ב ובישראל, כך לפי קלארוטי (Claroty) הישראלית, מקבוצת Team82.

הנוזקה, IOCONTROL, היא דלת אחורית מותאמת אישית, לתקיפה והשתלטות על מכשירי IoT, והיא גם בעלת "השפעה ישירה" על הטכנולוגיה התפעולית (OT) – משמע משאבות דלק המופעלות בתחנות דלק.

חוקרי האיומים של קלארוטי ניתחו דגימה שנפרסה על מערכת ניהול דלק Gasboy. זאת, כחלק מהמתקפה שיוחסה ל-CyberAv3ngers, קבוצת האקרים הפועלת כחלק, או בחסות משמרות המהפכה (IRGC). הנוזקה הוטמעה במסוף התשלומים של Gasboy, שנקרא OrPT, מה שאומר שהתוקפים יכלו להשבית לחלוטין את שירותי הדלק ולגנוב את פרטי התשלום של הלקוחות.

"להערכתנו, IOCONTROL הוא נשק סייבר המשמש מדינת לאום לתקיפת תשתיות קריטיות אזרחיות", קבעו החוקרים בדו"ח.

המכשירים שעליהם המתקפות השפיעו הם נתבים, בקרים לוגיים ניתנים לתכנות (PLC), ממשקי אדם-מכונה (HMI), פיירוולים ופלטפורמות IoT/OT אחרות מבוססות לינוקס. אלו מיוצרות על ידי  Baicells, D-Link, Hikvision, Red Lion,  Orpak,  Phoenix Contact,  Teltonika, Unitronics וספקים אחרים.

בדצמבר האחרון קבעו ה-FBI וסוכנויות פדרליות אחרות כי קבוצת ההאקרים ערכה מתקפות רבות נגד בקרים של יוניטרוניקס, המותקנים במערכות מים ותשתיות קריטיות אחרות ברחבי ארה"ב. אז נקבע כי ההאקרים תקפו מכשירים תוצרת ישראל – במתקנים בארה"ב. יוניטרוניקס היא ישראלית.

אולם המחקר הנוכחי מצביע על כך, שהיקף הפגיעה של ההאקרים היה רחב יותר. לדבריהם, "אחת המתקפות פגעה בכמה מאות מכשירי ניהול דלק בארה"ב ובישראל". אורפק היא ישראלית, ואילו גאזבוי היא אמריקנית.

ההאקרים חברי Cyberav3ngers התרברבו בעבר בערוץ הטלגרם שלה, כי תקפו 200 תחנות דלק בישראל ובארה"ב – בתקיפת מערכות אורפק.

גל המתקפות הזה נמשך מאמצע אוקטובר 2023 עד סוף ינואר 2024. אלא שדגימת IOCONTROL שהחוקרים קיבלו מ-VirusTotal מצביעה על כך, שההאקרים האיראנים השיקו מסע מתקפות נוסף ביולי ואוגוסט השנה, שפגע בכמה מערכות IoT ו-SCADA.

לפי החוקרים, הנוזקה עושה שימוש בפרוטוקול העברת ההודעות MQTT IoT לתקשורת. עובדה זו, הסבירו, כנראה מקלה על התוקפים להסוות את התעבורה הזדונית שלהם אל תשתית הפיקוד והבקרה (C2) – וממנה. עוד הם עשו שימוש בשירות DNS over HTTPS (DoH), של קלאודפלייר (Cloudflare), שהוא פרוטוקול מוצפן, כדי להתחמק מזיהוי. כך, סיכמו החוקרים, "ההאקרים משיגים את הפונקציונליות הנדרשת להם כדי לשלוט במכשירי IoT מרוחקים ולבצע תנועה רוחבית ככל שהם צריכים במערכות הקורבן".

OrPTתקיפות מכשירי IoTDNS over HTTPSMQTT IoTתקיפות נגד תשתיות רקיטיותתקיפות סייבר נכד מערכות תפעוליותIOCONTROLגאזבויTeltonikaPhoenix ContactOrpakRed LionHikvisionBaicellsGasboyCyberAv3ngersUnitronicsTeam82קלאודפליירCloudflareClarotyקלארוטיVirusTotalFBID-link

תגובות

(1)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

  1. סבא ג'פטו

    האיראנים מגייסים מוסמכי טכניון מצטייני נשיא. שמכירים את נקודות התוקפה פה בארץ למטרות לוחמת סייבר הגיע הזמן, שהטכניון יפסיק לייצר כח אדם עבור אויבינו.

    השיבו לתגובה

אירועים קרובים