Sektörden Haberler

Hacktivist Saldırıları, Endüstriyel Kontrol Sistemlerini Hacklemenin Ne kadar Kolay Olduğunu Göstermektedir

15 Aralık 2022

Hacktivistler, endüstriyel kontrol sistemleri (EKS) hakkında pek bir şey bilmeyebilirler, ancak bu cihazların tehlikeye girmesinin olası olumsuz sonuçlarının gayet iyi farkındadırlar. Bu nedenle bazı gruplar, amaçlarına dikkat çekmek için genellikle korumasız olan ve kolayca hacklenebilen endüstriyel kontrol sistemlerini hedef almaktadır.

Endüstriyel siber güvenlik firması olan Otorio, Eylül ayı başlarında GhostSec adlı Filistin yanlısı olan bir saldırı grubunun İsrail'de bulunan 55 Berghof programlanabilir mantık denetleyicisini (PLC) hacklediğini  iddia ettiklerini açıklamıştır. Saldırganlar, PLC'nin yönetim paneline bir insan-makine arayüzüne (HMI) erişimleri olduğunu, Ayrıca bir PLC'nin durdurulduğunu gösteren bir ekran görüntüsü de yayınlamışlardır. Bu, endüstriyel süreçlerin nasıl çalıştığı hakkında pek bilgisi olmayan bir saldırganın önemli bir aksamaya neden olduğunu gösteren bir saldırıdır.

Yaklaşık bir hafta sonra Otorio, aynı saldırganların, İsrail su şebekesine ait EKS'ye yapılan başka bir saldırının sorumluluğunu üstlendiğini iddia etmiştir.

Güvenlik firmasının araştırmacıları, Berghof PLC'lerini içeren olaya bakıldığında, Shodan arama motorunu kullanarak internete bağlı olan PLC'leri belirlemenin kolay olduğunu ve birçoğuna varsayılan veya ortak kimlik bilgileri kullanılarak erişilebileceğini açıklamıştır. Araştırmacılar, tehlikeye atılan PLC yönetici panelinin bazı işlevler üzerinde tam kontrol sağlamasına rağmen, bir kullanıcının endüstriyel süreci doğrudan kontrol etmesine izin vermediğini belirlemiştir.

Otorio, Endüstriel süreci bir dereceye kadar etkilemenin mümkün olduğunu, ancak asıl işlem yapılandırmasının kendisine yalnızca yönetici panelinden ulaşılamayacağını açıklamıştır.

Şirket ayrıca GhostSec'in ikinci tur iddialarını da analiz edip ve su şebekesi ile ilgili EKS'nin aslında bir otel havuzuyla ilişkili olduğunu iddia etmiştir.

Otorio araştırmacıları SecurityWeek'e yaptığı açıklamada; bilgisayar korsanlarının bir otel havuzunun HMI'sından daha önemli bir sistemin pH ve klor parametrelerini ihlal ettikleri iddiasının, gerekli analizlerini gerçekleştirmeden EKS'nin bir havuzla ilişkili olduğunu söylemenin zor olacağını belirtmişlerdir.

Öte yandan, bir saldırgan, gözlemlerine dayanarak, havuzu kullanan kişiler için sağlık riski oluşturabilecek bu parametreleri yalnızca izlemekle kalmayıp, değiştirebilecektir.

Bilgisayar korsanları, içme suyu parametrelerini kontrol etmek için kullanılabilecek sistemlere erişim sağladıklarını iddia ederken, misyonlarına ve inançlarına aykırı olacağı için İsrail'deki insanlara zarar vermeyi önlemek için herhangi bir ayarı değiştirmeyeceklerini açıklamışlardır.

SecurityWeek, bilgisayar korsanlarının EKS sistemlerine yönelik tehdidi hakkında ne düşündüklerini öğrenmek için endüstriyel siber güvenlik firmalarından birkaç uzmanla becerilerine ve bilgilerine dayalı olarak ne kadar ileri gidebilecekleri konusunda bilgi almıştır.

EKS' lerin son yıllarda yoğun bir şekilde internete bağlandığını ve çoğu durumda bu sistemlerin güvenli olmayan yapılandırmalar olduğunu, güvenlik açıklarının yaygın olarak bulunan araçlar aracılığıyla kolayca erişilebildiği bilinmektedir.

ABD, bu konu ile ilgili olarak, yaklaşık on yıl önce bilgisayar korsanlarının endüstriyel sistemleri kolayca hedefleyebilecekleri konusunda kuruluşlara bir uyarı yayınlamıştır.

Geçtiğimiz yıllarda, bilgisayar korsanları ve EKS’lere bazı saldırılar yapmıştır. Örneğin, 2020'de İranlı bir grup saldırgan İsrail'deki bir su tesisindeki sistemlere erişmiştir.

Daha yakın zamanlarda, 'Gonjeshke Darande' adlı bir grup, bir çelik şirketini üretimi durdurmaya zorlamak ve ülke çapındaki benzin istasyonlarını felç etmek de dahil olmak üzere İran'da bazı aksamalara neden olduğu için itibar kazanmıştır. Saldırıların İran'ın saldırganlığına yanıt olarak yapıldığı iddia edilmiştir.

Bununla birlikte, özellikle İran’a yapılan saldırılar gibi, bazı saldırılar söz konusu olduğunda, bazı uzmanlar bunların bilgisayar korsanlığı kisvesi altında, bir ulus devleti tarafından yapılabileceğine inanmaktadır.

Bir siber güvenlik firması olan Radiflow'un baş ürün sorumlusu Michael Langer, siyasi veya askeri çıkarlar altında faaliyet gösteren grupların, ellerinde devlet kaynakları olmasa bile,  bilgisayar korsanı grupları olarak kabul edilmemeleri gerektiğine dikkat çekmiştir.  Hamas ile bağlantılı Gazze Cybergang örnek olarak göstermiştir.

Langer; hacktivistleri, politik olarak motive olan ancak çoğunlukla örgütlenmemiş ve finansal olarak desteklenmeyen ve motive edilmeyen, zayıf korunan ağlardan yararlanmak ve dolayısıyla Dünyaya belirli mesajları iletmek için kolay fırsat arayan insanlar olarak tanımlamaktadır.

Langer, haktivistlerin, internete açık korumasız EKS veya IoT cihazlarına odaklanan orta derecede siber bilgiye sahip olduğunu, genellikle açık bağlantı noktalarına, halka açık araçlarla saldırdıklarını ve belirli bir hedefe ulaşmak için kısa süreler boyunca çalıştıklarını söylemektedir.

Langer, hactivistlerin, bazen hedeflerini seçerken, muhtemelen hedefleriyle alaka düzeyine göre değil, taviz verme kolaylığı kriterlerine göre seçtiklerini belirtmiştir. Örneğin, Shodan'da belirli bir satıcının ifşa olmuş bazı cihazlarını aramak ve bu cihazda varlık oluşturmak için sabit kodlanmış varsayılan kimlik bilgilerini denemenin daha kolay bir yöntem olduğunu açıklamıştır.

Langer ayrıca, hedeflerin çoğu muhtemelen dağıtılmış ağlar veya su tesisleri, bina yönetim sistemleri, belediye ağlarının endüstriyel bölümleri veya havuzlar, trafik ışıkları ( SMB ağları) gibi büyük ölçüde bakım, onarım ve izleme gibi amaçlar için uzaktan erişime bağlı sitelerin olacağını eklemiştir.

Bilgisayar korsanları, EKS'yi hedeflerken ne elde edebilir?

 Langer, hacktivist siber faaliyetler esas olarak yerel kesintilere ve diğer etkilere neden olsa da saldırganların, EKS siber güvenliğinin mevcut durumunun nispeten kötü olmaya devam etmesinden, yanlış yapılandırmalarından, zorunlu olmayan 3. taraf erişimlerinden, sık sık yapılan diğer temel güvenlik zayıflıklarından yararlanarak büyük sorunlara yol açabilecek ve sonuçları kamu güvenliğini tehlikeye atabilecek saldırılara sebep olabileceklerini açıklamıştır.

Otorio'da güvenlik araştırmacısı olan David Krivobokov; İşlevsel EKS sistemlerinin herhangi bir uygun güvenlik önlemi olmadan doğrudan internete bağlı olmasının, siber tehditlere karşı çıtayı gerçekten düşürdüğünü ve bu da OT altyapısına yapılabilecek saldırıları daha kolay ve etkili yaptığını, bir web sitesini tahrif etmek yerine halkı korkutmak için, bu sistemlerden birine giriş yapan bir saldırganın olası zararının çoğu durumda felaketten aşağı olmayacağını söylemiştir. 

Nozomi Networks'te OT siber güvenlik stratejisti olan Danielle Jablanski; Organize saldırı yapan gruplardan farklı olarak küçük veya önemsiz saldırılar yaptığını düşünen bireysel saldırganlarında yıkıcı etkileri olabileceğini, bu etkileri, günlük yaşamı sürdürmek için güvendiğimiz ürünler, hizmetler ve kaynaklar için fiziksel süreçleri ve kontrolleri değiştirmek söz konusu olduğunda daha da artacağına dikkat çekmektedir.

Jablanski, Otorio tarafından gösterilen örneklerdeki bilgisayar korsanlarının muhtemelen OT'ye aşina olmadıklarını, bireylerin bu bilgi açığını kapattığında, bu tür faaliyetlerde ne kadar daha fazla güce sahip olacakları, Bir endüstri olarak, ne kadar bilgi ve işlemin kaybına yol açacak mevcut veri ve erişim miktarının tam eşiğini bilmediklerini eklemiştir

EKS'yi hedeflemenin amacına ve sonuçlarına rağmen, birçok sürecin beklenmedik etkilerinin olabileceği ve en kötü durum senaryolarının oluşmasını önlemek için yerinde yük devretme yöntemlerinin olduğunu, süreç kontrol sistemini bozma yeteneğinin önemli bir toplumsal risk oluşturduğunu, bundan dolayı daha fazla EKS olayının meydana gelip gelmeyeceğini meselesinin değil, ne zaman olacağı meselesi olduğunu açıklamıştır.

Claroty'de güvenlik araştırmaları müdürü Sharon Brizinov’a göre, bazı durumlarda bir saldırgan dikkat çekmek, teknik yeteneklerini göstermek ve bir tür siyasi zafer kazanmak için kritik altyapılara saldırı yapabilecektir.

Brizinov, Varlık sahipleri ve operatörler bilgisayar korsanlarını hafife almamalıdır çünkü; bir grubun elde edebileceği erişim türü göz önüne alındığında, kesinti potansiyeli mevcuttur ve bir bilgisayar korsanının bir haraççıya dönüşmesini ve verileri çaldığını iddia etmesini veya kritik BT sistemlerine fidye yazılımı bulaştırma tehdidinde bulunmasını hiçbir şeyin engelleyemeyeceğini söylemiştir.

Dragos'un istihbarat içeriği direktörü Thomas Winston, EKS'ye yapılan bilgisayar korsanlığı saldırılarının kapsamının genellikle küçük olduğunu ve geçici görüş iş ve potansiyel olarak kontrol kaybına neden olabileceğini, bununla birlikte, bu tür geçici veya sınırlı bir olayın bile, örneğin su kuruluşları için ciddi zorluklar çıkarabileceğini ve suyun güvenliği konusunda halkın güvenini etkileyebileceğini dile getirmiştir.

Öte yandan Winston, "Her şeyde her zaman istisnalar vardır, ancak tesisin kararlı durum operasyonlarında kapsamlı uzun vadeli kesinti sağlamak için genellikle EKS/OT bilgisi ve Windows dışı EKS/OT cihazlarına erişimin gerekli olduğunu vurgulamıştır.

Winston, EKS’ye yönelik yıkıcı saldırıların para, araştırma ve personel açısından önemli kaynaklar gerektirdiğine, bununla birlikte, kurumsal BT ağlarını hedefleyen ve yanlışlıkla bağlı veya yetersiz bölümlere ayrılmış bir OT ağının keşfinin yaygın olduğunu belirtmiştir.

Winston, 2016’daki Kemuri Su Şirketi saldırısında, saldırganın Kemuri'nin kurumsal BT'sini hedef aldığını ve bilinen BT güvenlik açıklarından yararlanarak saldırdığını ve bunu yaparken korumasız OT yönetici kimlik bilgilerini ele geçirerek yaptığını açıklamıştır.

SynSaber CTO'su ve kurucu ortağı Ron Fabela, EKS'yi hedef alan saldırılarda artan bir eğilim olduğunu söylemiştir. Birleşik Krallıktaki South Staffordshire su şirketini hedef alan ve SCADA sistemlerine erişim elde ettiğini iddia eden Cl0p fidye yazılımı çetesini yakın tarihli örnek olarak göstermiştir.

Fabela İlgili tarafların, internetteki EKS ekranlarını 'keşfetmek' için genellikle Shodan gibi araçları kullandığını, bu ekran görüntülerini, ün kazanmak ve belki de hedef kuruluşu utandırmak için çevrimiçi olarak yayınladıklarını, ancak nadiren saldırı gerçekleştiğini, satıcı araştırma ekiplerinin bile trafiği ve dikkati artırmak için EKS cihazları veya yazılımlarında bulunan güvenlik açıkları hakkında abartılı iddialarda bulunduğunu, ancak bu tür bir istismarın gerçek dünyada uygulanabilirliğini kanıtlamakta yetersiz kaldığını iddia etmiştir.

Fabela, bu örneklerin paylaştığı şeyin, bir EKS hacklemesindeki son adımı olan  uygulama eksikliği olduğunu, EKS güvenlik olaylarının çoğunun, aslında kontrol sistemlerinin kendilerine yönelik doğrudan saldırılar olmadığını,  İster bir kontrol sistemi kuruluşunun BT ağına saldırı yapan bir grubun, ister sosyal medyada eğlence için HMI ekranları yayınlayan birinin, ister evrensel olarak çok ileri giden güvenlik satıcısı pazarlamasının operasyonların gerçekten aksamasından  etkisinden sorumlu olmak istemeyeceğini eklemiştir.

Belki de ulus-devletler dışında çok az kişinin aşmaya istekli olduğu bu 'kırmızı çizgiye yapılacak saldırıların niyetini belirlemek neredeyse imkansız olsa da, topluluk olarak bizler, endüstriyel kontrol sistemi güvenliğine artan ilginin süreç kesintisi olmadan devam etmesini umduğunu belirtmiştir.

Kuruluşlar ne yapmalı?

Langer, bu tür saldırıların, internet erişiminin güvence altına alınmasıyla, kimlik doğrulama mekanizmalarını güçlendirilmesiyle, seçilen bir MSSP tarafından temel EKS güvenlik izlemesi gerçekleştirilmesiyle, temel siber güvenlik hijyeninin zorunlu kılınmasıyla kolayca hafifletilebileceğini ifade etmiştir.

Kuruluşlar, yalnızca BT ağlarında değil, aynı zamanda gerçek iş ve çevresel önemi göz önünde bulundurarak OT segmentlerinde de düzenli siber risk değerlendirmesi yaparak kendilerini buna ve daha önemli tehditlere karşı hazırlamalıdır.

 

Kaynak: https://www.securityweek.com/hacktivist-attacks-show-ease-hacking-industrial-control-systems