Sektörden Haberler

Siber Saldırganlar 2022’de EKS Altyapılarına Nasıl Saldırdılar, 2023'te Nasıl Saldıracaklar?

05 Ocak 2023

Dev ve robotik makinelerin hedef alındığı benzersiz bir yıldı 2022. Geçtiğimiz yıl Bazılarının "Elit Kötü Amaçlı Yazılım Birliği" olarak adlandırdığı, elektrik santrallerinden trafik ışıklarına ve su sistemlerine kadar dünyamızı yöneten endüstriyel makinelere yönelik kötü amaçlı yazılımlara iki yeni ekleme yapıldı.

Bu sene EKS altyapılarında siber saldırganların ne kadar etkin olduğunu dünyaya ispatlayacak çok büyük olaylara da sahne olmaktaydı.

UKRAYNA SİBER SALDIRISI

Savaşın yıldırıcı etkilerinin insanların günlük hayatını etkilemesi maksadıyla 2022'nin son dönemlerinde Ukrayna'ya bombalar yağdı. Bu fiziki saldırılar Elektrik ekipmanlarını tahrip etti ve elektrik kesintilerine neden oldu. Ancak 8 Nisan'da, aynı şeyi çok daha gizli bir şekilde yapmaya çalışan başka bir ordu iş başındaydı. SİBER SALDIRGANLAR.

Siber saldırganlar, 8 Nisan günü geç saatlerde kimliği belirsiz bir bölgede elektriği kesmeye çalıştı.

Ukrayna Enerji Bakan Yardımcısı Farid Safarov, “Başarılı olsalardı ciddi bir hasara neden olacaklardı. Bu saldırı etki olarak, bırakın bu bölgede konuşlanmış ticari ve diğer işletmeleri, sivilleri de kapsayacaktı ki bu iki milyon insanın elektriksiz kalması anlamına gelecekti.” açıklamasında bulundu.

Ukraynalı Siber Savunma ekipleri saldırıyı etki etmeden önce durdurmayı başardılar. Aynı zamanda "Elit Kötü Amaçlı Yazılım Birliğinin" en yeni üyesini de ortaya çıkardılar: Şehirlere hayat veren ve gemileri, uçakları, gazı ve suyu hareket ettiren makineleri hedeflemek için tasarlanmış endüstriyel kötü amaçlı yazılımların birincisi. INDUSTROYER2

YENİ KÖTÜ AMAÇLI YAZILIM

Araştırmacılar, Aralık 2016'da Ukrayna'da elektrik kesintisine neden olan orijinal kötü amaçlı yazılım olan Industroyer'ın ardından yeni kötü amaçlı yazılım Industroyer 2'yi tanımladılar.

Güvenlik şirketi ESET'in tehdit istihbaratı araştırmacısı Robert Lipovsky Ampere News'e verdiği röportajda” Bu kadar hedeflenmiş bir şey keşfettiğimizde, bu kesinlikle tetikte olmak için bir neden" açıklamasını yaptı.

Lipovsky, Industroyer 2'nin analizinde bizzat çalışma yaptı ve ekibinin bulgularını Nisan 2022'de Miami'deki Endüstriyel Siber Güvenlik Konferansında sundu. Lipovsky, Industroyer 2 olarak tanımlanan zararlının, ilk versiyon olan Industroyerden daha ince çalışılmış, daha hedef odaklı, muhtemelen ilk seferkine göre hataları giderilmiş bir versiyon olduğunu söyledi. "Belki daha basit bir şekilde yapmanın daha etkili olabileceğini düşünerek tasarladılar" diye de ekledi.

Saldırganlar ayrıca sistemleri silmek veya yok etmek, kendi izlerini kapatmak ve gücün tekrar açılmasını zorlaştırmak için ilgili zararlı yazılımı çalıştırdılar.

Her iki versiyonla yapılan saldırıların arkasında, Ukrayna'yı yıllardır rahatsız eden bir Rus askeri siber saldırı grubu olan Sandworm var. Kum Kurdu olarak adlandırılan bu altı kişilik ekip, 2020'de ABD tarafından dünyanın dört bir yanındaki ülkeleri hedef aldıkları gerekçesiyle suçlandı. ABD, 2022'de bu altı kişilik ekip için 10 milyon dolarlık bir ödül açıkladı.

Lipovsky, "Bu saldırganların bundan sonra nereye saldırabileceklerini tahmin etmek mümkün değil. Eğer Ukraynalıların yapabildiklerine benzer şekilde, bunun gibi kötü amaçlı yazılımları tespit etme ve bu olayları önleme yeteneğine sahip olduğunuzdan eminseniz, endişelenmeyin. Ancak içinde bulunduğumuz durumda maalesef bu kadar rahat durabilmek mümkün değil.” diyerek konuyu pekiştirdi.

İKİNCİ KÖTÜ AMAÇLI YAZILIM

Industroyer 2 saldırısından sadece beş gün sonra, bilinen bu tür kötü amaçlı yazılımların sayısını yediye çıkaran başka bir endüstriyel kötü amaçlı yazılım ortaya çıktı. Incontroller.

Zararlıyı kimin ve nasıl geliştirdiği hakkında çok az bilgi var, ancak araştırmacılar endüstriyel makineler üzerinde büyük bir etkisi olabileceğini söylüyor.

"Kod görünürde temiz. Bu sayede saldırganların başarılı olabilmeleri ihtimali çok daha yüksek.” Güvenlik şirketi Synsaber'in CTO'su ve Kurucu Ortağı Ron Fabela, bu yorumuyla birlikte konuya eğlenceli bir bakış getiriyor ve “Kötü amaçlı yazılım yazarları akıllanıyor" diye ifade ediyor.

!DİKKAT!

ABD hükümetinin Nisan ayında çıkardığı bir tavsiye dokümanında, Incontroller'ın kritik cihazları ele geçirip kontrol edebileceğini, hatta saldırganların kontrol ekranının aynalı bir görünümünü görmelerine ve makineleri uzaktan çalıştırmalarına izin verebileceğini bildiriyordu.

Güvenlik şirketi Mandiant'ın teknik müdürü Chris Sistrunk, "Saldırganlar tarafından hedef sistemlere konuşlandırılmadan önce zararlının tespit edildiğini, bu saldırı girişiminin herhangi bir mağduru olmadığını biliyoruz. Bu iyi bir şey" dedi. "Ama yine de onu analiz etmemiz ve etkisinin ne olabileceğini görmemiz gerekiyor. Ve bu tür bir kötü amaçlı yazılımın gerçek bir kritik altyapıda konuşlandırılması potansiyel olarak büyük sorunlara neden olabilir." diye ekledi.

Mandiant ilgili raporunda, saldırıların büyük olasılıkla devlet destekli olduğunu ve son derece nadir ve tehlikeli bir siber saldırı yeteneğini temsil ettiğini belirtiyor.

Dragos'un güvenlik açığı analisti K. Reid Wightman "Bu insanlar iyi şeyler peşinde değiller. Demek istediğim, endüstriyel kontrollere girmeye ve kötü şeyler yapmaya çalışıyorlar, gerçek etkinin veya nihai hedefin ne olduğuna dair herhangi bir kanıt görmüyoruz. Yani hiçbir fikrimiz yok. Ama sürekli açıklar arıyorlar.” açıklamasında bulundu.

YENİ SALDIRILAR?

Araştırmacılar hem Industroyer 2 hem de Incontroller'ın yeniden çalışılabileceğini ve başka hedefler için yeniden kullanılabileceğini söylüyorlar.

SynSaber'in CEO'su ve Kurucu Ortağı Jori VanAntwerp, "Yeni bakış açıları görmek her zaman ilginçtir. Etki açısından bakıldığında, her zaman korkutucudur bu saldırılar. Özellikle kritik altyapı ve hatta gelişmiş üretim sahaları söz konusu olduğunda, bu tür kötü amaçlı yazılımların o kadar çok fiziksel, gerçek dünya etkisi var ki, bu her zaman korkutucu oluyor." açıklaması ile süregelen saldırı vektörlerinin psikolojik baskısına vurgu yapmaktadır.

PEKİ BU SALDIRILARA KARŞI NASIL ÖNLEMLER ALINABİLİR?

Nisan ayında yayınlanan tavsiye belgesi, şirketlere sistemlerini korumak için asgari seviyede aşağıdakileri kapsayacak adımlar atmalarını tavsiye ediyor:

 

  • Sistemlere giriş yaparken güçlü şifreler kullanılmalı,
  • Çok faktörlü kimlik doğrulama (MFA) uygulanmalı,
  • Endüstriyel Ağ ve Kurumsal Ağ birbirinden izole edilmeli,
  • Tüm ağ hareketleri ve uç cihazlar 7/24 esasına göre izlenmelidir.

GERÇEK DÜNYADA MEVCUT DURUM

Seçkin kötü amaçlı yazılım liginde iki yeni güçlü üye olmasına rağmen Uzmanlar, saldırganların aslında popüler filmlerde görebileceğiniz gibi tüm ülkelerin elektriğini kesemeyeceğini, kamu kuruluşlarının sistemlerini korumak için çalıştığını ve sürekli sistem sıkılaştırmaları yaptıklarını, bu nedenle çoğumuz için büyük endüstriyel saldırıların olası veya yakın olmadığını söylüyorlar.

Sistrunk, "Sadece dikkat edilmesi gereken bir şey. Kontrol sistemlerini etkileyen kötü amaçlı yazılımları çok sık görmüyoruz. Bu bizi korkutmamalı, sadece farkında ve tetikte olmalıyız” açıklamasını yapıyor.

SALDIRGANLARIN 2023 YILINDAKİ YOĞUNLUKLARI NE OLACAK?

Peki Uzmanlar 2023'te endüstriyel kötü amaçlı yazılımlarda ne gibi gelişmeler olabileceğini değerlendiriyor?

Bazıları, saldırganların tamamen yeni bir şey oluşturmak yerine, sahip oldukları kötü amaçlı yazılımı geliştirerek yeniden çalıştırabileceklerini düşünüyor. Ancak en olası saldırı, sistemleri ele geçiren ve onları rehin tutan fidye yazılımı saldırıları olacaktır.

2022'de endüstriyel şirketlere yönelik fidye yazılımı vakaları arasında Avrupa'da bir gaz boru hattı, Birleşik Krallık'ta bir su şirketi ve ABD'de büyük bir lastik üreticisi yer alıyor.

Güvenlik şirketi Synsaber'in CTO'su ve Kurucu Ortağı Ron Fabela, “Fidye yazılımı genellikle şirketin Industroyer 2 ve Incontroller gibi endüstriyel tarafını hedef almaz. Kurumsal cihazlara etki eder, ancak endüstriyel ağa yayılma etkileri olabilir. Endüstriyel süreçleri doğrudan veya dolaylı olarak kesintiye uğratan fidye yazılımları, 2023'te endüstriyel şirketler için en büyük risk olmaya devam edecek" açıklaması ile incelemesini bitirmektedir.

Kaynak: https://industrialcyber.co/ransomware/how-cyber-attackers-are-targeting-industrial-machines-in-2022-2023/?utm_campaign=meetedgar&utm_medium=social&utm_source=meetedgar.com&utm_source=pocket_reader