בעשורים האחרונים נחשפו מקרים מתועדים שבהם גורמי מדינה הטמיעו רכיבים זדוניים בחומרה, קושחה ותשתיות תקשורת - לצורכי איסוף מודיעין או שיבוש והשבתה של מערכות קריטיות. מקרים אלה אינם תיאוריה אקדמית: הם תועדו בתקשורת העולמית, אושרו במסמכים מסווגים שהודלפו, ובחלקם הביאו להשלכות גיאופוליטיות מרחיקות לכת.

המאמר הזה מרכז את המקרים המשמעותיים ביותר, מנתח את וקטורי התקיפה השונים, ומציג את הפתרונות המעשיים - מניהול שרשרת אספקה ובקרות מפצות ברמות שונות, ועד תהליכי זיכוי (Accreditation) מוכחים שמאפשרים לארגונים ביטחוניים להתמודד עם האיום בצורה שיטתית.

1,800+
מקרי רכיבים חשודים כמזויפים בשרשרת האספקה הביטחונית של ארה"ב (דו"ח הסנאט 2012)
$500B+
שווי שוק המוצרים המזויפים השנתי בעולם בהערכת OECD
1,000+
צנטריפוגות שהושמדו במתקפת Stuxnet

חלק א׳ - מקרים מתועדים של הטמנות בחומרה וקושחה

כל אחד מהמקרים הבאים מייצג וקטור תקיפה ייחודי: יירוט פיזי בשרשרת האספקה, מניפולציה של קושחה ברמת היצרן, הכנסת רכיב חומרה זדוני בשלב הייצור, ואף הטמנת חומר נפץ ברכיבי תקשורת.

איסוף מודיעין - יירוט חומרה בשרשרת האספקה

🔴 NSA TAO - יירוט נתבי Cisco במשלוח (2014)

מסמכים שהודלפו על ידי אדוארד סנואדן חשפו שיחידת TAO (Tailored Access Operations) של ה-NSA יירטה באופן שיטתי ציוד רשת של Cisco, Juniper ויצרנים נוספים בזמן המשלוח. הרכיבים נפתחו, הותקנו בהם שתלים (implants) ברמת הקושחה, ונארזו מחדש - כשהלקוח הסופי לא מודע לשינוי. תוכנית זו פעלה בהיקף תעשייתי.

🟠 Equation Group - הטמנות בקושחת דיסקים קשיחים (2015)

מעבדת Kaspersky חשפה את קבוצת Equation Group (המזוהה עם ה-NSA) שפיתחה מודולי קושחה זדוניים ל-12 יצרני דיסקים קשיחים שונים, כולל Western Digital, Seagate ו-Toshiba. ההטמנה שכנה ברמת הקושחה של הבקר (HDD controller firmware) - מה שהפך אותה לבלתי ניתנת לגילוי על ידי כל תוכנת אנטי-וירוס, ולבלתי ניתנת למחיקה גם על ידי פרמוט מלא של הכונן. התוכנה הזדונית שרדה אתחולים, החלפת מערכות הפעלה, ואף מחיקה מלאה - כי היא ישבה מתחת לרמת מערכת ההפעלה.

🟣 חשדות Supermicro - שבבי ריגול בלוחות אם (2018–2021)

בלומברג פרסמה חקירה בשנת 2018 שטענה כי גורמי ביון סיניים הטמיעו שבבי ריגול זעירים בלוחות אם של Supermicro בשלב הייצור במפעלים בסין. לפי הדיווח, השבבים איפשרו גישה מרחוק לשרתים של Amazon (AWS) ו-Apple ולכ-30 חברות אמריקאיות נוספות. Apple ו-Amazon הכחישו את הדיווח, אך בלומברג עדכנו את החקירה ב-2021 עם עדויות נוספות. עם זאת, יש לציין כי כל החברות המעורבות - Amazon, Apple, Supermicro, DHS וה-NSA - הכחישו בתוקף את הטענות, והדיווח של בלומברג טרם אומת באופן עצמאי על ידי ממקורות בלתי תלויים. ללא קשר למידת האמיתות של הדיווח הספציפי - המקרה הדגיש את הפגיעות הקריטית של שרשראות ייצור חומרה מרוכזות בסין.

Huawei וציוד תשתיות 5G - חשש מערבי מתמשך

מדינות ה-Five Eyes (ארה"ב, בריטניה, קנדה, אוסטרליה וניו זילנד), וכן גרמניה, צרפת ויפן, הגבילו או אסרו את השימוש בציוד Huawei ברשתות 5G. החשש המרכזי: חוק ביון סיני מ-2017 מחייב כל חברה סינית לשתף פעולה עם שירותי המודיעין כשנדרש - מה שהופך כל ציוד תקשורת של Huawei ל-וקטור סיכון פוטנציאלי לאיסוף מודיעין בקנה מידה לאומי. האיסורים אינם מבוססים בהכרח על הוכחה לשתל ספציפי, אלא על חוסר יכולת לאמת שאינו קיים.

שיבוש והשבתה - מתקפות פיזיות דרך שרשרת האספקה

🔴 Stuxnet / Olympic Games - השמדת צנטריפוגות אירניות (2010)

מתקפת הסייבר המתוחכמת ביותר שתועדה לאותה עת: תולעת Stuxnet, שיוחסה לשיתוף פעולה אמריקאי-ישראלי, חדרה למערכות SCADA של Siemens במתקן העשרת אורניום בנתנז, איראן. התוכנה הזדונית מניפולטה את בקרי ה-PLC (Programmable Logic Controllers) - שינתה את מהירות הסיבוב של הצנטריפוגות בזמן שהציגה למפעילים תצוגה תקינה. התוצאה: למעלה מ-1,000 צנטריפוגות IR-1 נהרסו פיזית. זוהי הפעם הראשונה המתועדת שתוכנה זדונית גרמה להשמדה פיזית של תשתית תעשייתית.

🔴 מתקפת הפייג'רים בלבנון - חומר נפץ בשרשרת האספקה (ספטמבר 2024)

באחד מבכירי מבצעי שרשרת האספקה אי-פעם, אלפי פייג'רים מדגם Gold Apollo AR-924 שהופצו לפעילי חיזבאללה התפוצצו בו-זמנית ב-17 בספטמבר 2024. הפייג'רים יוצרו דרך חברת מעטפת הונגרית בשם B.A.C. Consulting, שלפי דיווחים תקשורתיים הוקמה על ידי המוסד. כמות קטנה של חומר הנפץ PETN הוטמנה בתוך סוללת הליתיום של כל מכשיר. למחרת, גל שני של פיצוצים פגע במכשירי קשר (ווקי-טוקי). בסך הכל נהרגו עשרות ונפצעו אלפים. המבצע הדגיש רמה חסרת תקדים של חדירה לשרשרת ייצור של חומרה לתקשורת.

השורה התחתונה

המקרים האלה מוכיחים שהטמנות בחומרה וקושחה אינן תסריט מדע בדיוני - אלא כלי מבצעי מוכח של מדינות, הפועל כבר עשרות שנים. וקטורי התקיפה מגוונים: מיירוט במשלוח, דרך מניפולציה בייצור, ועד הטמנה פיזית של חומר נפץ. הגנה אפקטיבית דורשת גישה שיטתית - לא תיקון נקודתי.

חלק ב׳ - מיפוי וקטורי התקיפה

ניתן לסווג את האיומים לפי הרמה שבה ההטמנה מתבצעת ולפי שלב שרשרת האספקה שבו מתרחשת הפגיעה:

שכבת החומרה (Hardware Layer)

הוספת רכיבים פיזיים - שבבי ריגול, מעגלים משניים, אנטנות סמויות. הגילוי דורש בדיקה פיזית ברמת PCB: צילום רנטגן, בדיקת fluorescence, והשוואה ל-golden sample.

🔧

שכבת הקושחה (Firmware Layer)

מניפולציה של קוד קושחה בבקרים - HDD controllers, BMC, UEFI/BIOS, ניהול רשת (IPMI). בלתי נראית למערכת ההפעלה, שורדת פרמוט ואתחול.

📦

שכבת הלוגיסטיקה (Supply Chain Interdiction)

יירוט ציוד במהלך משלוח, במחסני ביניים או בנמלים. לא דורש שיתוף פעולה של היצרן - רק גישה פיזית לשרשרת ההפצה.

🏭

שכבת הייצור (Manufacturing Manipulation)

שינוי בתהליך הייצור עצמו - ברמת ה-foundry, ה-assembly, או הבדיקה. דורש שליטה או השפעה על קו הייצור. קשה מאוד לגילוי בדיעבד.

חלק ג׳ - פתרונות: ניהול שרשרת אספקה ובקרות מפצות

ההתמודדות עם הטמנות בחומרה וקושחה אינה מסתכמת בפתרון טכנולוגי יחיד. נדרשת אסטרטגיה רב-שכבתית שמשלבת ניהול שרשרת אספקה, בקרות מפצות ברמות שונות, ותהליכי אימות מתמשכים.

רמה 1 - ניהול ספקים ושרשרת אספקה

01
מיפוי שרשרת אספקה מלאה (Supply Chain Mapping)
מיפוי של כל שכבות האספקה - מה-foundry שמייצר את השבב, דרך ה-assembler, ועד המפיץ. דרישה ל-Traceability מלא לכל רכיב קריטי.
02
הערכת ספקים (Supplier Assessment)
ביקורות תקופתיות של ספקים כולל בדיקת מדינת מוצא, בעלות, ומבנה ארגוני. יישום דרישות NIST SP 800-161 Rev. 1 לניהול סיכוני שרשרת אספקה.
03
רכש מאומת (Authorized/Trusted Distribution)
רכישה אך ורק מערוצי הפצה מורשים של היצרן. הימנעות מרכש ב-open market או ממפיצים לא מאומתים - במיוחד לרכיבים קריטיים.
04
ניהול לוגיסטי מאובטח (Secure Logistics)
שימוש באריזות Tamper-Evident, מעקב GPS על משלוחים, ואימות שלמות אריזה בקבלה. מניעת יירוט פיזי בשרשרת ההפצה.

רמה 2 - בקרות מפצות טכניות

בקרות מפצות (Compensating Controls) הן אמצעי הגנה שמיושמים כאשר לא ניתן לבטל את הסיכון לחלוטין - והן קריטיות כי אף שרשרת אספקה אינה אטומה ב-100%.

🔬

בדיקות קבלה פיזיות (Incoming Inspection)

צילום רנטגן (X-ray), בדיקת Decapping, השוואת die ל-golden sample, ובדיקת רכיבים חשמלית. ב-DMEA של משרד ההגנה האמריקאי מבצעים בדיקות ברמת הטרנזיסטור.

📋

אימות קושחה (Firmware Verification)

השוואת hash של קושחה ל-known-good baseline, אימות חתימות דיגיטליות, ובמקרים קריטיים - ביצוע reverse engineering על קושחה של רכיבים חדשים.

🛡️

ניטור התנהגותי (Behavioral Monitoring)

ניטור תעבורת רשת חריגה, זיהוי תקשורת C2 יוצאת, ובדיקת צריכת חשמל אנומלית - מה שעשוי להצביע על רכיב פעיל מוסתר.

🏗️

ארכיטקטורת Zero Trust

עיצוב מערכתי שמניח כי כל רכיב עלול להיות פגום. סגמנטציה של רשתות, הצפנה end-to-end, ו-least privilege access - כדי שגם אם רכיב נפגע, הנזק מוגבל.

רמה 3 - אימות חומרה מתקדם

Battelle - RAICS (Reverse Engineering and Inspection of Counterfeit Semiconductors)

שיטת בדיקה מתקדמת שפותחה על ידי Battelle Memorial Institute עבור משרד ההגנה האמריקאי. כוללת ניתוח פיזי של רכיבים אלקטרוניים ברמת הנאנומטר: חיתוך FIB (Focused Ion Beam), הדמיית SEM, ניתוח מעגלים לוגיים, ואימות תאימות ל-datasheet המקורי.

DARPA SHIELD - אימות אותנטיות ברמת הרכיב

תוכנית SHIELD (Supply Chain Hardware Integrity for Electronics Defense) של DARPA פיתחה שבבוני (dielets) אותנטיקציה זעירים - רכיבים מזעריים שמוטמעים בתוך IC ומאפשרים אימות אותנטיות באמצעות סריקה חיצונית. הרעיון: כל רכיב קריטי נושא "תעודת זהות" פיזית שלא ניתנת לזיוף.

חלק ד׳ - מסגרות רגולטוריות ותקנים

הקהילה הבינלאומית פיתחה מספר מסגרות ותקנים ייעודיים להתמודדות עם סיכוני שרשרת אספקה בחומרה:

מסגרת / תקן גוף מנפיק מיקוד רלוונטיות
NIST SP 800-161 Rev. 1 NIST ניהול סיכוני שרשרת אספקה (C-SCRM) גבוהה מאוד
CMMC Level 3+ DoD אבטחת מידע בקבלנים ביטחוניים גבוהה מאוד
NIST SP 800-171 Rev. 3 NIST הגנה על CUI אצל קבלנים גבוהה
SAE AS6171 SAE International בדיקת רכיבים מזויפים/חשודים בינונית-גבוהה
SAE AS6081 SAE International מניעת רכיבים מזויפים בהפצה בינונית-גבוהה
ISO 28000 ISO ניהול אבטחה בשרשרת אספקה בינונית

חלק ה׳ - תהליכי זיכוי (Accreditation)

תהליכי זיכוי הם המנגנון הפורמלי שמאפשר לרגולטור הביטחוני לאשר שרכיב, מערכת, או ספק עומדים ברמת אמינות מספקת. בהקשר של הטמנות בחומרה, תהליכי הזיכוי הם קריטיים כי הם יוצרים שרשרת אמון מאומתת - מהיצרן ועד למשתמש הקצה.

DMEA Trusted IC Supplier Accreditation

מהו תהליך הזיכוי של DMEA?

ה-Defense Microelectronics Activity (DMEA) של משרד ההגנה האמריקאי מנהל תוכנית הסמכה ליצרני מעגלים משולבים (IC). ספק שעובר את התהליך מקבל הכרה כ-Trusted Supplier - מה שמאפשר לו לספק רכיבים למערכות ביטחוניות קריטיות. התהליך כולל:

01
הערכת מתקן ייצור (Facility Assessment)
ביקורת פיזית מקיפה של מתקן הייצור - כולל בקרת גישה, ניטור עובדים, אבטחה פיזית, ונהלי עבודה.
02
אימות תהליך ייצור (Process Verification)
בדיקה שתהליך הייצור עומד בדרישות ושלא ניתן לבצע בו מניפולציות ללא גילוי. כולל ניהול תצורה, בקרת שינויים, ומעקב אחר כל שלב.
03
בדיקת כוח אדם (Personnel Vetting)
סינון ביטחוני של עובדי מפתח בקו הייצור. כולל בדיקות רקע, אישורי סיווג, ומעקב מתמשך.
04
בדיקת שרשרת אספקה פנימית
אימות שכל חומרי הגלם, המסכות (masks), וכלי הבדיקה מגיעים ממקורות מאומתים - ללא חשיפה לגורמים עוינים.
05
מעקב ובקרה מתמשכים (Continuous Monitoring)
הזיכוי אינו חד-פעמי. נדרשות ביקורות תקופתיות, דיווח על אירועים, ועמידה מתמשכת בדרישות - אחרת ההסמכה נשללת.

CMMC - מסגרת זיכוי לקבלנים ביטחוניים

ה-Cybersecurity Maturity Model Certification (CMMC) היא מסגרת הזיכוי של משרד ההגנה האמריקאי עבור קבלני ביטחון. החל מ-CMMC 2.0, הדרישות כוללות התייחסות מפורשת לאבטחת שרשרת אספקה:

הקשר ישראלי - תהליכי זיכוי ביטחוניים

תהליכי זיכוי בתעשייה הביטחונית הישראלית

מערכת הביטחון הישראלית מפעילה תהליכי זיכוי מקבילים, הן ברמת זיכוי ספקים (הכרה ביכולת הספק לעמוד בדרישות אבטחה) והן ברמת זיכוי מוצר/מערכת (אישור שהמוצר עומד בדרישות הרגולטור). תהליכים אלה כוללים:

• בדיקת מוצא וזהות ספק על ידי גורמי ביטחון
• דרישה למעקב (Traceability) על רכיבים קריטיים
• בדיקות קבלה מוגברות לציוד שמגיע ממדינות בסיכון
• תהליכי אישור טיפוס (Type Approval) שכוללים בדיקה פיזית של רכיבי חומרה
• ביקורות תקופתיות של ספקים מאושרים

חלק ו׳ - צ'קליסט מעשי לארגונים

הפעולות הבאות מייצגות את הצעדים המעשיים שכל ארגון ביטחוני צריך ליישם כדי לצמצם את הסיכון מהטמנות בחומרה וקושחה:

שורה תחתונה

הטמנות בחומרה, קושחה ותשתיות הן איום מוכח, פעיל, ומתפתח. המקרים שתועדו בשני העשורים האחרונים מראים שמדינות מפעילות יכולות אלה בצורה שיטתית - הן לאיסוף מודיעין והן לשיבוש תשתיות קריטיות.

אבל יש פתרונות. שילוב של ניהול שרשרת אספקה קפדני, בקרות מפצות ברמות שונות, ותהליכי זיכוי פורמליים - מאפשר לארגונים ביטחוניים לצמצם באופן משמעותי את החשיפה לאיום ולבנות שרשרת אמון אמיתית מהיצרן ועד למשתמש הקצה.

מקורות

  1. Glenn Greenwald, "No Place to Hide" - NSA TAO interdiction program, Snowden documents (2014)
  2. Kaspersky Lab, "Equation Group: Questions and Answers" - HDD firmware implants report (2015)
  3. Ralph Langner, "To Kill a Centrifuge" - Stuxnet technical analysis (2013)
  4. Bloomberg Businessweek, "The Big Hack" - Supermicro investigation (2018, updated 2021)
  5. Reuters, AP, NYT - Lebanon pager attack coverage, September 2024
  6. U.S. Congress, "Secure and Trusted Communications Networks Act" - Huawei/ZTE restrictions (2020)
  7. NIST SP 800-161 Rev. 1, "Cybersecurity Supply Chain Risk Management Practices" (2022)
  8. NIST SP 800-171 Rev. 3, "Protecting Controlled Unclassified Information" (2024)
  9. DMEA, "Trusted IC Supplier Accreditation Program" - U.S. Department of Defense
  10. CMMC 2.0 Model Overview, U.S. Department of Defense (2024)
  11. SAE AS6171, "Test Methods Standard for Counterfeit Electronic Parts" (2022)
  12. DARPA SHIELD Program - Supply Chain Hardware Integrity for Electronics Defense