Hacktivistler Su ve Enerji Altyapılarını Hedef Aldı: ICS Sistemleri Üzerinden Yeni Saldırı Dalgası

28 Kasım 2025

Kritik altyapı sektörleri son iki haftada endüstriyel kontrol sistemlerine (EKS/ICS) yönelik yeni ve dikkat çekici saldırılarla gündemde. Kanada Siber Güvenlik Merkezi (CCCS) ve RCMP, internete açık bırakılan SCADA, PLC, RTU ve otomatik tank ölçüm sistemlerinin hacktivist gruplar tarafından hedef alındığını doğruladı. Su tesislerinde basınç manipülasyonu, enerji sektöründe tank seviyelerinin yanlış gösterilmesi ve tarımsal silo kontrollerinin sabote edilmesi gibi olaylar yaşandı.

Bu vakalar, yalnızca Kanada için değil; su, enerji, arıtma ve üretim sektörleri dahil tüm dünya için uyarı niteliğinde.

Kritik Altyapılar Üzerinde Yeni Tehdit: Hacktivist ICS Saldırıları

Kanada tarafından yayımlanan son uyarılarda, farklı sektörlere ait ICS bileşenlerinin yalnızca tarayıcılarla bulunabilecek şekilde internete açık bırakıldığı, saldırganların da özellikle zayıf parola, varsayılan şifre, yamalanmamış açıklar ve segmentasyonsuz ağ yapıları üzerinden sızdığı belirtildi.

Uyarmaya konu olan üç olay, ICS saldırılarının artık gerçek fiziksel süreçleri etkileyebildiğini gösteriyor:

Su Tesisinde Basınç Manipülasyonu

Bir su dağıtım tesisinin proses kontrol sistemine yetkisiz erişim sağlandı. Saldırganlar, şebeke su basıncını değiştirerek hizmetin kesinti riski oluşturdu. Su basınç değerlerinin manipüle edilmesi, yalnızca su akışını değil; boru hatlarının fiziksel güvenliğini de tehdit edebilir.

Bu olay, su sektörünün IT ve OT ağ ayrımını hâlen yeterince yapamadığının göstergesi.

Petrol–Gaz Sektöründe ATG Sisteminin Ele Geçirilmesi

Bir petrol ve gaz şirketinde kullanılan Automatic Tank Gauging (ATG) sistemi saldırıya uğradı. Saldırganlar, yanlış alarm durumları ve sahte tank seviye bilgileri üretmeyi başardı. Bu tür manipülasyonlar operasyonel verimliliği bozmakla kalmaz; yanlış güvenlik alarmı oluşturduğu için işletmeyi maliyet, duruş ve yanlış müdahale riskleriyle karşı karşıya bırakır.

ATG sistemlerinin uzun süredir bilinen güvenlik açıkları bulunmasına rağmen birçok kurulum hâlâ internete açık durumda.

Tarım Sektöründe Sıcaklık–Nem Kontrol Sistemi Hacklendi

Bir çiftlikteki tahıl kurutma silosunun sıcaklık ve nem değerlerinin uzaktan değiştirildiği tespit edildi. Operatörler fark etmeseydi yangın riski, ürün kaybı ve fiziksel tehlike oluşabileceği raporlandı.

Saldırganların Yöntemi: Kolay Hedef Arayan Fırsatçı Hacktivizm

Kanada makamları saldırganların profilini şöyle tanımlıyor:

Önceden belirlenmiş spesifik bir hedef yok; saldırganlar internet taramalarıyla kolay hedef arıyor.
Amacı propaganda, itibar zedeleme veya altyapıyı sabote ederek gürültü çıkarmak.
Saldırılarda bilinen ama yamalanmamış açıklar, varsayılan şifreli cihazlar, güvenliksiz SCADA arayüzleri öne çıkıyor.
Bazı hacktivist grupların geçmişte iddia ettiği saldırılar abartılı çıksa da, ICS hedefli saldırıların sayısı son iki yılda ciddi artış gösteriyor.

Asıl tehlike ise şu:
Hacktivist görünümlü saldırıların bazıları, devlet destekli tehdit gruplarının “maskeli operasyonları” olabilir.

Bu Olay Türkiye İçin Ne Anlama Geliyor?

Türkiye’de özellikle enerji, su, arıtma, üretim ve maden sektörlerinde yüzlerce tesis SCADA/PLC tabanlı süreçlerle yönetiliyor. Bu tesislerin büyük kısmı:

İnternete açık servisler barındırıyor,
Segmentasyon eksikleri yaşıyor,
Varsayılan parolalarla çalışan HMI/RTU üniteleri içeriyor,
Üretici yamaları düzenli uygulanmıyor,
OT tarafında güvenlik yatırımları BT’ye kıyasla geride.

Bu tür saldırılar bize şunu gösteriyor: Su veya enerji gibi sektörlerde ICS saldırısı artık “gelirse gelir” değil; “geldi ve artıyor” durumunda.

Neden ICS Saldırıları Artıyor?

Saldırılar son dönemde birkaç nedenle yoğunlaştı:

İnternete Açık ICS Cihazlarının Sayısı Çok Fazla

Shodan ve benzeri motorlarla tarandığında:

Dünya genelinde en az 100.000’den fazla ICS cihazı
Doğrudan internete açık bulunuyor.

Bu cihazların bir kısmı:

S7-1200/1500 PLC’ler,
Modbus, DNP3, BACnet gibi güvenliksiz protokoller,
SCADA web arayüzleri (bazıları hiçbir doğrulama olmadan).

Varsayılan veya Zayıf Şifreler Yaygın

Birçok cihaz hâlâ aşağıdakilerle çalışıyor:

admin / admin
12345
guest / guest
fabrika çıkışı üretici parolası

OT Ortamlarında Yamalar Geciktiriliyor

“Üretim durmasın” kaygısı nedeniyle OT ekiplerinin yama uygulama süreci genellikle aylarca gecikebiliyor.

Segmentasyon Eksikliği

IT/OT ağları çoğu tesiste hâlâ aynı switch ortamında veya uygunsuz VLAN segmentasyonuyla birlikte bulunuyor.

Uzaktan Erişim Sorunsuz Açılıyor

Bakım firmaları için port yönlendirme ile doğrudan internet erişimi açılması hâlâ yaygın bir hata.

Bir ICS’nin Hacklenmesi İçin Gereken Tek Şey ‘İnternete Açık’ Olmasıdır

SecurityDive analizine göre saldırganlar şu adımlar üzerinden sızıyor:

İnternete açık ICS cihazlarını tarama
Varsayılan parolalar veya bilinen açıklarla giriş
HMI veya kontrol arayüzüne erişim
Fiziksel değerleri değiştirme (basınç, sıcaklık, akış, seviye…)
Kargaşa, sabotaj veya operasyon duruşu oluşturma

Bu süreç, birçok sistemde 5 dakikadan kısa sürede gerçekleşebilir.

Peki Bu Olaylar Nasıl Meydana Geldi?

Aşağıdaki teknik akış, su tesisinde yaşanan son olay üzerinden sadeleştirilmiş biçimde açıklanabilir:

ICS cihazı internete açık bırakılmıştı.
Shodan gibi tarayıcılar üzerinden su tesisindeki HMI/PLC arayüzü keşfedildi.
Varsayılan yönetici parolası değiştirilmemişti.
Saldırgan sisteme doğrudan giriş yaptı.
HMI paneli üzerinde basınç kontrol ekranına ulaştı.
Su basınç değerleri manuel olarak artırıldı/azaltıldı.
Sistemin alarm ve güvenlik kontrolleri yetersizdi.
Basınç değişimi otomatik olarak durdurulmadı.
Fiziksel süreç etkilenme riski oluştu.
Bölgesel su akışında kesinti ve hat basıncı değişikliği meydana geldi.

Benzer teknik akış, ATG ve silo saldırıları için de geçerlidir:
Zayıf ICS cihazları → Kolay erişim → Manipülasyon → Fiziksel etki

Ne Yapılmalı?

ICS/SCADA Envanteri Çıkarılmalı

Tüm PLC, RTU, HMI, SCADA ve IIoT cihazlarının listesi çıkarılmalı.

İnternete Açık ICS Cihazları 0’a İndirilmeli

Eğer zorunlu erişim varsa:

VPN
MFA
IP whitelisting kullanılmalı.

IT–OT Segmentasyonu Yapılmalı

Fiziksel ve mantıksal ayırma (VLAN/Firewall) zorunlu bir adımdır.

Üretici Yamaları Düzenli Uygulanmalı

Siemens, Schneider, Rockwell gibi üreticilerin güvenlik bültenleri takip edilmeli.

OT İzleme Sistemi Kurulmalı

ICS protokollerini anlayan IDS

Tabletop Exercises Düzenlenmeli

ICS senaryoları üzerinden teknik-personel tatbikatı yapılmalı.

Varsayılan Parolalar Derhal Değiştirilmeli

Bu olayların yarısının nedeni hâlâ default password kullanımıdır.

Sonuç: ICS Saldırıları Artıyor ve Fiziksel Süreçler Tehlikede

Su basıncı manipülasyonu, tank seviye sahtekarlığı, tahıl silosu sıcaklık kontrolünün bozulması…
Son iki haftada yaşanan olaylar, kritik altyapı siber güvenliğinin artık sadece IT güvenliği olmadığını, doğrudan fiziksel dünyanın güvenliği anlamına geldiğini gösteriyor.

Enerji, su ve arıtma tesisleri; SCADA ve PLC sistemlerini korumak için BT kadar OT güvenliğine de yatırım yapmak zorunda.

Aksi hâlde, internete açık bırakılmış tek bir PLC bile kritik süreci durdurabilir veya sabotaja yol açabilir.

Kaynaklar

Cybersecurity Dive – Canadian warn hacktivists exploiting exposed ICS devices
https://www.cybersecuritydive.com/news/canadian-warn-hacktivists-exposed-ics-devices/804244
TechRadar Pro – Canada says hacktivists breached water and energy facilities
https://www.techradar.com/pro/security/canada-says-hacktivists-breached-water-and-energy-facilities

Kritik Demiryolu Fren Sistemleri Manipülasyona Açık

Japonya’dan Yarı İletken Tedarik Zincirine Yönelik OT Güvenlik Rehberi

Sürdürülebilir Endüstriler İçin Yeni Bir Güvenlik Hikâyesi: Adaptif OT Siber Koruma

IoT Güvenliği Son 5 Yılda Ne Kadar Yol Aldı?

Avrupa’da Endüstriyel Sistemlerin %50’si Hâlâ Eski! TXOne Networks’ten Kritik OT Güvenliği Uyarısı

Son Yazılar

Hizmetler

Çözümler

Kurumsal

İletişim