2025 yılının 29 Aralık günü, Polonya’nın kritik enerji altyapısına yönelik, son yılların en karmaşık ve yıkıcı siber operasyonlarından biri gerçekleştirildi. Bu saldırı dalgası, klasik veri hırsızlığı veya fidye taleplerinden tamamen ayrışarak; rüzgâr santrallerinden devasa kombine ısı-güç (CHP) tesislerine kadar geniş bir yelpazede “siber kundaklama” faaliyeti yürüttü.
Cbernet olarak, CERT Polska tarafından yayınlanan kapsamlı raporu teknik derinlemesine inceledik. Bu yazıda, saldırının anatomisini, hedef alınan donanımların neden savunmasız kaldığını ve bu tür bir felaketten korunmak için modern savunma mimarisinin nasıl olması gerektiğini detaylandırıyoruz.
- Yenilenebilir Enerji Santrallerine Saldırı: GCP ve Haberleşme Körlüğü
Yenilenebilir enerji tesislerine (RES) yönelik operasyon, doğrudan Üretim Kontrol Noktalarını (GCP) hedef almıştır. Saldırganlar, en az 30 tesiste eş zamanlı olarak sahadaki fiziksel cihazları kullanılmaz hale getirmiştir.
1.1. İlk Erişim ve VPN İhmalleri
Saldırganlar, tesislerin internete açık olan FortiGate cihazlarındaki VPN arayüzlerini hedef almıştır. Raporda öne çıkan en kritik bulgu, bu erişim noktalarının hiçbirinde Çok Faktörlü Kimlik Doğrulama (MFA) kullanılmamış olmasıdır. Saldırganlar ele geçirdikleri kimlik bilgileriyle ağa dahil olduktan sonra, ilk iş olarak FortiGate cihazlarını fabrika ayarlarına döndürmüştür. Bu hamle iki amaca hizmet etmiştir:
- Tesisin dış dünya ve Dağıtım Sistemi Operatörü (DSO) ile bağını koparmak.
- Cihaz üzerindeki tüm logları ve adli bilişim kanıtlarını silmek.
1.2. OT Katmanında Derinlemesine Yıkım
Saldırganlar IT ağından OT (Operasyonel Teknoloji) ağına geçtikten sonra, cihazların IP adreslerini takip eden sistematik bir yok etme sürecine başlamışlardır.
- 1.2.1. Hitachi RTU560 ve Firmware Manipülasyonu: Uzak Terminal Birimleri (RTU), enerji sahalarının beynidir. Saldırganlar, “Default” hesapları kullanarak cihazlara eriştikten sonra, sahte bir firmware yüklemesi gerçekleştirmişlerdir. Bu firmware, cihazın giriş noktasına (entry point) eklenen geçersiz bir talimat seti içermekteydi. Sonuç olarak cihazlar, “reboot loop” (sürekli yeniden başlatma) döngüsüne girmiş ve fiziksel müdahale olmadan kurtarılamaz hale gelmiştir.
- 1.2.2. Mikronika RTU ve Dosya Sistemi Temizliği: Linux tabanlı işletim sistemine sahip bu kontrolörlerde, saldırganlar SSH üzerinden root erişimi sağlamıştır. Basit ama etkili bir rm -rf / benzeri mantıkla tüm dosya sistemi silinmiş, cihazın işletim kabiliyeti sıfırlanmıştır.
- 1.2.3. Hitachi Relion IED (Koruma Röleleri): IED’ler elektrik şebekesinde güvenlik duvarı görevi görür. Saldırganlar varsayılan FTP kimlik bilgilerini kullanarak bu rölelere bağlanmış ve konfigürasyon dosyalarını silmiştir. Bu durum, trafoların ve hatların korumasız kalmasına veya devre dışı kalmasına yol açmıştır.
- 1.2.4. Moxa NPort Seri Sunucular: Seri cihaz sunucuları, eski nesil OT cihazlarını ağa bağlar. Saldırganlar bu cihazları fabrika ayarlarına döndürdükten sonra şifrelerini değiştirmiş ve IP adreslerini geçersiz kılmıştır. Bu, sahadaki verilerin kontrol merkezine akışını tamamen durdurmuştur.
- Büyük CHP Tesisi: Aylar Süren Hazırlık ve Karmaşık Wiper Operasyonu
Yarım milyon insana ısı sağlayan CHP (kombine ısı-güç) tesisindeki saldırı, yenilenebilir enerji sahalarına göre çok daha sofistike ve sabırlı bir süreç izlemiştir.
2.1. Yatay Hareket ve Ayrıcalık Yükseltme (Privilege Escalation)
Saldırganların tesise aylar öncesinden sızdığı ve pasif keşif yaptığı saptanmıştır.
- Keşif Araçları: Saldırganlar ağda “scada”, “hmi”, “plc” gibi anahtar kelimeler içeren sistemleri taramıştır. nircmd.exe kullanarak operatörlerin ekran görüntülerini almış, çalışma saatlerini ve kullanılan yazılımları analiz etmişlerdir.
- Active Directory Dominasyonu: Saldırganlar, LSASS bellek dökümleri üzerinden “Diamond Ticket” saldırıları düzenleyerek etki alanı (domain) üzerinde tam yetki sahibi olmuşlardır. Tüm kullanıcı veri tabanı (ntds.dit) saldırganların eline geçmiştir.
2.2. GPO Manipülasyonu ile Kitlesel Sabotaj
Saldırganlar, zararlı yazılımları manuel olarak tek tek yüklemek yerine, Active Directory’nin Grup İlkesi Nesneleri’ni (GPO) kullanmışlardır.
- GPO Yedekleme ve Değiştirme: Mevcut “Default Domain Policy” yedeğini almışlar, bu yedeğe Wiper zararlısını çalıştıracak komutları eklemişler ve ardından “Custom Domain Policy” olarak tüm ağa yaymışlardır.
- EDR ile Mücadele: Tesisteki EDR (Endpoint Detection and Response) sistemleri, saldırganların Wiper denemelerinin bir kısmını engellemiştir. EDR’ın “Canary” (yem) dosyalarına dokunulması, sistemin alarm vermesini sağlamış ve sabotajın etkisi %100’e ulaşmadan kesintiye uğratılmıştır.
2.3. Altyapıyı Fiziksel Olarak Çökertme Girişimi
Sadece dosyaları silmekle yetinmeyen saldırganlar, sunucuların disk mimarisini (RAID) hedef almıştır. Tiny Core Linux imajlarını kullanarak sistemleri boot etmiş ve dd komutuyla disk bölümlerini rastgele verilerle ezmişlerdir. Bu, veri kurtarma uzmanlarının işini imkansız hale getirmeyi amaçlayan bir tekniktir.
- Üretim Sektörü: FortiGate Scripting ve Casusluk
Üretim sektöründeki şirkete yönelik saldırı, daha çok istihbarat toplama ve kalıcılık sağlama odaklıdır.
3.1. Olağandışı Kalıcılık Yöntemi: FortiGate Scripts
Saldırganlar, güvenlik duvarı (FortiGate) üzerinde kendi özel script’lerini oluşturmuşlardır. Bu script’ler periyodik olarak çalışarak sistemdeki aktif kullanıcıları ve şifrelerini taramıştır. En ilginç detay ise, bu bilgilerin cihazın otomatik bildirim mekanizması üzerinden saldırganın bir Slack kanalına yönlendirilmesidir. Bu, geleneksel C2 (Komuta Kontrol) trafiği izleme araçlarını atlatmak için kullanılan dahice bir yöntemdir.
3.2. Bulut Katmanına Sızma (Microsoft 365)
On-premise sistemlerden elde edilen Global Admin yetkileriyle M365 ortamına girilmiştir.
- SharePoint ve Teams Casusluğu: Saldırganların özellikle “SCADA Modernizasyonu”, “Ağ Mimari Şemaları” ve “Acil Durum Prosedürleri” gibi dosyaları indirdiği tespit edilmiştir. Bu, saldırganların bir sonraki fiziksel sabotaj dalgası için önceden bilgi topladığını göstermektedir.
- Zararlı Yazılım Analizi: DynoWiper ve LazyWiper
Raporda detaylandırılan iki ana Wiper, saldırganların yazılım geliştirme kapasitesini de ortaya koymaktadır.
4.1. DynoWiper: Hızlı ve Acımasız
DynoWiper, diski tamamen silmek yerine “sparse wiping” (seyrek silme) tekniğini kullanır. Dosyaların belirli ofsetlerini 16-byte’lık rastgele bloklarla ezer. Bu yöntem, devasa boyutlardaki veri tabanlarını saniyeler içinde geri döndürülemez şekilde bozar. Ancak saldırganlar kod içerisinde “Program Files(x86)” klasörünü dışlarken (boşluk hatası nedeniyle) hata yapmış, bu da bazı sistemlerin tamamen çökmesine neden olmuştur.
4.2. LazyWiper: LLM Yardımıyla mı Yazıldı?
LazyWiper, PowerShell tabanlı bir araçtır. Kodun yapısı, içindeki C# sınıflarının deklarasyonu ve mantıksız yorum satırları, bu kodun bir LLM (Büyük Dil Modeli) tarafından üretildiğine dair güçlü işaretler taşımaktadır. Bu durum, saldırganların kod geliştirme sürecini hızlandırmak için yapay zekadan yararlandığını kanıtlayan ilk somut vakalardan biridir.
- Atıf (Attribution): Arka Plandaki Aktörler
Kullanılan teknikler, TTP’ler (Taktik, Teknik ve Prosedürler) ve hedef seçimi incelendiğinde; bu operasyonun Rusya bağlantılı Static Tundra (diğer adlarıyla Berserk Bear veya Dragonfly) grubuyla yüksek benzerlik gösterdiği görülmektedir. Bu grup, 2017’den beri enerji sektörüne yönelik keşif faaliyetleriyle bilinse de, 29 Aralık saldırısı onların “yıkıcı kapasitelerini” ilk kez bu denli açık bir şekilde sergiledikleri bir olay olmuştur.
- Cbernet Stratejik Önerileri: Kritik Altyapıları Nasıl Korumalıyız?
Bu rapor, savunma tarafındaki geleneksel yöntemlerin yetersizliğini kanıtlıyor. Cbernet olarak, bu vaka özelinde aşağıdaki stratejik yol haritasını öneriyoruz:
6.1. Kimlik ve Erişim Güvenliği (IAM)
- Koşullu Erişim (Conditional Access): Sadece MFA yetmez. VPN erişimi için cihazın kayıtlı (managed) olması ve belirli bir coğrafi konumdan gelmesi şart koşulmalıdır.
- Privileged Access Management (PAM): OT cihazlarına (RTU, PLC) doğrudan erişim yasaklanmalı, tüm erişimler bir “Jump Server” üzerinden video kaydı alınarak ve tek kullanımlık şifrelerle yapılmalıdır.
6.2. OT Güvenlik Hijyeni
- Varlık Envanteri ve Sıkılaştırma: Ağda “default” parolalı tek bir cihaz bile kalmamalıdır. Moxa NPort ve Hitachi IED gibi cihazların yönetim arayüzleri, ana kullanıcı ağından tamamen izole edilmelidir.
- Firmware Bütünlük Kontrolü: OT cihazlarına firmware yüklenmeden önce hash doğrulaması yapılmalı ve bu süreç “dört göz” (two-man rule) prensibiyle onaylanmalıdır.
6.3. Algılama ve Müdahale (XDR & SIEM)
- GPO İzleme: AD üzerindeki Grup İlkesi değişiklikleri saniyeler içinde güvenlik ekiplerine uyarı olarak düşmelidir. Özellikle “Scheduled Task” oluşturan GPO’lar en yüksek risk kategorisindedir.
- Anomali Tespiti: Güvenlik duvarından Slack gibi platformlara giden outbound trafik, veri sızıntısı (Exfiltration) kapsamında sıkı denetlenmelidir.
6.4. Kurtarma ve Dayanıklılık (Resilience)
- Çevrimdışı Altın Yedekler: RTU ve PLC’lerin çalışan son konfigürasyonları (golden configs) fiziksel olarak yalıtılmış bir ortamda saklanmalıdır.
- Siber Olay Müdahale Tatbikatları: Şirketler, sadece veri kurtarmayı değil, “fiziksel cihazları sıfırdan ayağa kaldırma” senaryolarını içeren teknik tatbikatlar yapmalıdır.
Sonuç olarak; 29 Aralık vakası, siber güvenliğin sadece bir IT departmanı sorunu değil, bir milli güvenlik ve iş sürekliliği meselesi olduğunu bir kez daha hatırlatmıştır. Cbernet olarak, bu teknik analizlerin ışığında Türkiye’deki enerji ve üretim tesislerini daha dirençli hale getirmek için çalışmalarımızı sürdürüyoruz.
