האקרים פרו פלסטינים תקפו בסייבר מערכות בקרה של בריכות השחייה בבית מלון בישראל

קבוצת המחקר בחברת אוטוריו (OTORIO), הפועלת בתחום ההגנה על מערכות בקרה תעשייתיות ותשתיות קריטיות, חשפה כי קבוצת ההאקרים פרו-פלסטינית תקפה בקרים המצויים בשימוש במערכת בקרת המים של בריכות השחייה בבית מלון המשתייך לרשת מלונות מוכרת בישראל, ששמם לא נמסר.

בתחילת החודש פרסמה קבוצת תקיפה פרו-פלסטינית בשם GhostSec, אשר תקפה בעבר בישראל בעיקר ארגונים, מערכות שליטה ותשתיות קריטיות הפתוחות לאינטרנט, בחשבונות הטלגרם והטוויטר שלה כי השתלטה בהצלחה על 55 בקרים של חברת ברגהוף (Berghof) הגרמנית. לאחר כמה ימים הכריזה אותה קבוצה על התקפה מוצלחת נוספת, הפעם על בקר של חברת אאגיס (Aegis), וכאמור כעת מסתבר כי הקבוצה חדרה למערכות השליטה והבקרה של בריכות השחייה במלון.

קבוצת התוקפים פרסמה צילום מסך מתוך מערכת שליטה ובקרה המיועדת לבריכות, אשר משתייכת לרשת המלונות וכוללת התייחסות למה שכונה שם כ"גדולה" וכאמור מתייחסת לבריכה המרכזית של אחד ממלונות הרשת. כחלק מהמחקר של החברה, התגלתה מערכת גלויה נוספת, שככל הנראה עושה שימוש באותו בקר חשוף וכונתה "פעוטות". התוקפים כתבו בהודעה שפורסמה מטעמם, כי "למרות השנאה שלהם למדינה, היא לא מתכוונת לסכן חיי אדם בשלב זה". יש לציין, כי למרות שככל הנראה מטרת הקבוצה היא בעיקר לזרוע פחד ולמצב עצמה כאיום מוחשי על תשתיות קריטיות בישראל, הרי שמבחינה טכנית לקבוצת התוקפים הייתה היכולת לשנות את מינוני הכימיקלים בבריכות השחייה בדגש על רמת החומציות (כמו רמת ה-pH) ורמת הכלור במים.

צילום המסך שפרסמו ההאקרים, ובו נראית מערכת השליטה והבקרה של בריכת שחייה, המכונה "גדולה". צילום: אוטוריו

דוד קריבובוקוב, חוקר סייבר באוטוריו, אמר, כי "גל התקיפות האחרון מדגיש שוב עד כמה הגדרות אבטחה לא נכונות של מערכות שליטה ובקרה (ICS/SCADA) תעשייתיות הן עניין שבשגרה, ומנגד עלולות להוות סיכון קטסטרופלי של ממש בעולם האמיתי. לצערי, כנראה שעל כל תקיפה כזאת שמתפרסמת ישנן כמה שלא מתפרסמות, או תקיפות שעתידות להגיע. נראה כי קיים סיכוי סביר להניח, שייתכן ואירעו מתקפות נוספות כחלק מהגל הנוכחי אשר עדיין לא פורסמו".

אוטוריו עדכנה את מערך הסייבר הלאומי בכל הפרטים הטכניים של האירוע, כמו גם בזהות הגורם המותקף. בעת כתיבת שורות אלו הגישה החופשית מהרשת למערכות הבקרה של בריכות השחייה אינה זמינה, מה שמעיד על צעדים שהארגון הנתקף ככל הנראה ביצע על מנת לחסום את הפרצה ובכך למנוע הישנות מקרים דומים בעתיד.