מחקר ישראלי: איראן פיתחה כופרה שמתקיפה חברות תעשייתיות

האיראנים שוב על הגדרות – הפעם של התעשייה: חוקרים מאוטוריו הישראלית קישרו בין כופרה שהופעלה במתקפה שנערכה באחרונה נגד יצרנית נפט גדולה במזרח התיכון ובין איראן, כך פרסמה החברה היום (ג').

סנייק (Snake) היא כופרה חדשה המאיימת על המגזר התעשייתי ונועדה לשבש את פעילותן של מערכות בקרה תעשייתיות (ICS). הכופרה מצפינה תוכנות ומסמכים במחשבים נגועים. לאחר מכן, כדי למנוע את שחזור הקבצים המוצפנים מארכיונים, היא מסירה את כל העותקים שלהם מתחנות נגועות, ולא משאירה לקורבנות ברירה אלא לבחור בין האפשרות לאבד את הנתונים שלהם או לשלם את דמי הכופר תמורת שחרור מפתח ההצפנה.

ניתוח מעמיק של הכופרה העלה כי היא מתוכננת להביא לעצירתם של מאות תהליכים, כשהיא עושה שימוש ב-"Kill list". זו כמעט זהה לרשימה של הכופרה MegaCortex, שהתגלתה באמצע 2019. הניתוח חשף גם כי הכופרה הונדסה במטרה לפגוע בתהליכי שליטה ובקרה תעשייתיים ספציפיים, שקשורים לרכיבים מתוצרת ג'נרל אלקטריק.

באוטוריו אומרים כי "המשמעות של הגילוי מעלה ברמה גבוהה את הסבירות כי מערכות הקורבן המיועד מכילות ציוד רשת עם רכיבים מתוצרת ג'נרל אלקטריק". החוקרים מצאו "מועמדת" סבירה מאוד שנראה שכבר היוותה מטרה למתקפה: BAPCO – חברת השמן והנפט הלאומית של בחריין. מעבר לכך שהחברה עושה שימוש ברכיבים אלה, בכתובת המייל שמהווה חלק מהודעת הכופר מופיע השם שלה: [email protected].

"מעוורים את הצוות התפעולי"

"הנזק הפוטנציאלי של מתקפה שמשתמשת בסנייק עלול להיות משמעותי עבור הקורבן", אמר דור ירדני, ראש צוות תגובה באוטוריו. "מחיקה או נעילה של תהליכי ICS ממוקדים תמנע גישה לתהליכים חיוניים הקשורים לניהול תהליכי ייצור – כולל ניתוח, תקשורת, שליטה ובקרה. הדבר משול לכיסוי שתי עיני נהג המכונית והסרת ההגה – תוך כדי נסיעה".

ירדני ציין ש-"זו אינה הפעם הראשונה שענקית הנפט הבחריינית משמשת כמטרה למתקפת סייבר ממוקדת. באחרונה דווח כי האקרים איראניים שפעלו בחסות המדינה שתלו ברשת הארגונית של BAPCO נוזקה למחיקת נתונים בשם Dustman. צירוף המקרים תוך פרק זמן קצר מעלה את ההסתברות ששני האירועים הללו קשורים".

בחברת הסייבר הישראלית ציינו שבשנים האחרונות כיוונה איראן לא פעם מתקפות לעבר התשתיות התעשייתיות של שכנותיה. "בנוסף", אמרו, "ידוע שההאקרים האיראנים לומדים מהיכולות ומשיטות הפעולה של אחרים, תוך שהם מעתיקים אותן ומנצלים את ההעתקה לטובתם. שימוש בנוזקה ש-'הוכיחה את עצמה', דוגמת MegaCortex, והתאמתה למטרותיהם – במקרה הזה, בעולם מערכות הבקרה התעשייתיות – הם סימן ההיכר של שיטות הפעולה של האקרים איראניים".

מנכ"ל אוטוריו הוא תא"ל (מיל') דניאל ברן, מייסד מערך הסייבר ההגנתי של צה"ל, ולשעבר ראש חטיבת ההתעצמות ומפקד יחידת לוטם. רס"ן (מיל') יאיר עטר, לשעבר קצין בכיר ביחידת סייבר, משמש כסמנכ"ל הטכנולוגיות של החברה. אוטוריו מעסיקה יותר מ-70 עובדים ומפעילה משרדים בתל אביב וב-וינה.