האקרים איראנים תקפו בשנה האחרונה 200 תחנות דלק בישראל ובארה"ב

החוקרים שחשפו את התקיפה: מדובר בנשק סייבר שמכוון כלפי תשתיות קריטיות. התוקפים, שכבר תקפו תשתיות מים, בטלגרם: נמשך לתקוף

אהוד קינן

16.12.24

ממלאת דלק. אילוסטרציה: Skitter Photo, Pexels

השבתת תשתיות קריטיות. אילוסטרציה: Skitter Photo, Pexels

האקרים המזוהים עם איראן תקפו במהלך השנה האחרונה מצלמות, נתבים, בקרי PLC, פיירולים והתקני IoT/SCADA/OT נוספים, כך לפי Team82 של חברת Claroty. ההאקרים טוענים כי תקפו 200 תחנות דלק בישראל ובארצות הברית, דרך הרכיבים הללו.

התוכנה הזדונית היעודית מכונה IOCONTROL, ובחברה מעריכים כי מדובר בלא פחות מאשר נשק סייבר שכוון כלפי תשתיות קריטיות אזרחיות.

הקבוצה התוקפת, CyberAv3ngers, פרסמה בטלגרם צילומי מסך של פורטלי הניהול של התחנות ומידע נוסף על התקיפות שביצעה נגד מערכות אלו, והצהירה כי תמשיך לתקוף טכנולוגיות מתוצרת ישראלית בתשתיות קריטיות.

זו לא הזירה היחידה בסייבר שבה איראן תוקפת. לפני שבועיים כלי תקשורת ישראלים דיווחו כי השב"כ חשף נסיון של גורמים איראנים לבצע 200 תקיפות פישינג נגד אישי ציבור בכירים בישראל, ואף בנו סיפור כיסוי ייעודי לכל אחד מהיעדים. מטרת התוקפים הייתה להשיג גישה לנכסים הדיגיטליים של הבכירים – מייל, מחשב, וסמארטפון ומשם למשוך מידע אישי עליהם מה שהיה מאפשר לפגוע בהם פיזית – כך לפי השב"כ.

התוכנה התחבאה במערכת התשלומים

מערכות שליטה על משאבות דלק כוללות מספר רכיבים, ובהם מסוף תשלום חיצוני, מדפסת לחשבוניות, מערכת שליטה למשאבות ולאקדח הדלק ועוד. צוות החברה ניתח דגימה של התוכנה שנלקחה ממערכת לניהול דלק שנפגעה וציין כי עדיין לא ברור מהי השיטה שבה התוכנה הזדונית נפרסה על המערכות של הקורבנות שנפגעו. עם זאת כן ידועים, בין השאר, הפרטים הבאים:

התוכנה משתמשת בפרוטוקול התקשורת MQTT, שנועד לתקשורת IoT, על מנת לחבר את מערכות השליטה שלהם למכשירים שתקפו.
התוכנה בנויה בצורה מודולרית, שמאפשרת לה לפעול על מגוון רחב של פלטפורמות של יצרנים שונים.
לפני ההתחברות לתשתית, התוכנה הזדונית מתקינה backdoor במכשיר, כדי להבטיח את הישרדותה, ומופעלת גם אם המכשיר הפגוע מאותחל.
השליטה מלאה של התוקפים במסוף התשלום יכולה, פוטנציאלית, להשבית את שירותי הדלק או לגנוב מידע על כרטיסי אשראי של לקוחות.

תקפו במקביל תשתיות מים

הקבוצה, CyberAv3ngers, ידועה כמקושרת לאיראן והייתה אחראית לפני שנה גם על תקיפות נגד Unitronics, המייצרת בקרים למערכות ייצור. היעד של הקבוצה היה אז תשתיות לטיהור מים.

הדיווחים על התקיפות שביצעו חברי קבוצת CyberAv3ngers נגד תחנות הדלק ממקמים אותן בין אוקטובר 2023 לינואר 2024 – כלומר במקביל לתקיפה של בקרי טיהור המים. עם זאת, בחברה אומרים שיש אינדיקציה לכך שהקבוצה חידשה את הקמפיין הממוקד שלה נגד תחנות הדלק ורכיבי ה-IoT גם ביולי ובאוגוסט השנה.

במקביל, בדצמבר 2023, קבוצת האקרים המזוהה עם ישראל טענה כי חדרה למערכות של כל תחנות הדלק באיראן, והשביתה כמעט את כולן. נציג מטעם איגוד תחנות הדלק האיראניות מסר אז לכלי תקשורת במדינה כי "בעיית תוכנה במערכות הדלק מתרחשת בכמה תחנות ברחבי המדינה. מומחים מטפלים בבעיה", וקרא לתושבים שלא להגיע לתחנות הדלק, בהן מדווחים תורי ענק. עם זאת, על פי דיווחים ברשת, רק 30% מהתחנות היו פעילות נכון למועד התקיפה.