Yeni araştırma, 175 ülkede 145.000’den fazla internete açık Endüstriyel Kontrol Sistemini (ICS) ortaya çıkardı; yalnızca ABD, toplam riskin üçte birinden fazlasını oluşturuyor.
Saldırı yüzey yönetimi şirketi Censys’ten gelen analiz, cihazların %38’inin Kuzey Amerika’da, %35,4’ünün Avrupa’da, %22,9’unun Asya’da, %1,7’sinin Okyanusya’da, %1,2’sinin Güney Amerika’da ve %0,5’inin Güney Amerika’da bulunduğunu ortaya çıkardı. Afrika.
En fazla ICS hizmetine maruz kalan ülkeler arasında ABD (48.000’den fazla), Türkiye, Güney Kore, İtalya, Kanada, İspanya, Çin, Almanya, Fransa, İngiltere, Japonya, İsveç, Tayvan, Polonya ve Litvanya yer alıyor.
Ölçümler, Modbus, IEC 60870-5-104, CODESYS, OPC UA ve diğerleri gibi yaygın olarak kullanılan çeşitli ICS protokollerinin kullanımından elde edilmiştir.
Öne çıkan önemli bir husus, saldırı yüzeylerinin bölgesel olarak benzersiz olmasıdır: Modbus, S7 ve IEC 60870-5-104 Avrupa’da daha yaygın olarak gözlemlenirken Fox, BACnet, ATG ve C-more daha yaygın olarak Kuzey’de bulunur. Amerika. Her iki bölgede de kullanılan bazı ICS hizmetleri arasında EIP, FINS ve WDBRPC bulunmaktadır.
Dahası, C-more insan-makine arayüzlerinin (HMI’ler) %34’ü su ve atık su ile ilgiliyken, %23’ü tarımsal süreçlerle ilişkilidir.
Censys’in kurucu ortağı ve baş bilim adamı Zakir Durumeric yaptığı açıklamada, “Bu protokollerin birçoğunun tarihi 1970’lere kadar uzanabilir ancak dünyanın geri kalanının gördüğü aynı güvenlik iyileştirmeleri olmadan endüstriyel süreçlerin temelini oluşturmaya devam ediyor” dedi.
“ICS cihazlarının güvenliği, bir ülkenin kritik altyapısını korumada kritik bir unsurdur. Bunu korumak için bu cihazların nasıl açığa çıktığına ve savunmasız olduğuna dair nüansları anlamalıyız.”
Özellikle ICS sistemlerini hedef alan siber saldırılar nispeten nadirdir ve bugüne kadar yalnızca dokuz kötü amaçlı yazılım türü keşfedilmiştir. Bununla birlikte, son yıllarda, özellikle de devam eden Rusya-Ukrayna savaşının ardından, ICS merkezli kötü amaçlı yazılımlarda bir artış oldu.
Bu Temmuz ayının başlarında Dragos, Ukrayna’da bulunan bir enerji şirketinin, operasyonel teknoloji (OT) ağlarını bozmak için Modbus TCP iletişimlerini kullandığı tespit edilen FrostyGoop olarak bilinen kötü amaçlı yazılım tarafından hedef alındığını açıklamıştı.
BUSTLEBERM olarak da adlandırılan kötü amaçlı yazılım, Golang dilinde yazılmış, genel kullanıma açık cihazların arızalanmasına ve sonuçta hizmet reddine (DoS) neden olabilen bir Windows komut satırı aracıdır.
Palo Alto Networks Birim 42 araştırmacıları Asher Davila ve Chris Navarrete, bu hafta başında yayınlanan bir raporda, “Kötü aktörler kötü amaçlı yazılımı ENCO kontrol cihazlarına saldırmak için kullansa da, kötü amaçlı yazılım Modbus TCP konuşan diğer türdeki cihazlara da saldırabilir.” dedi.
“FrostyGoop’un Modbus TCP bağlantısı kurmak ve hedeflenen ICS cihazına Modbus komutlarını göndermek için ihtiyaç duyduğu ayrıntılar, komut satırı argümanları olarak sağlanabilir veya ayrı bir JSON yapılandırma dosyasına dahil edilebilir.”
Şirketin ele geçirdiği telemetri verilerine göre 2 Eylül ile 2 Ekim 2024 arasındaki bir aylık dönemde 1.088.175 Modbus TCP cihazı internete açıldı.
Tehdit aktörleri gözlerini su yetkilileri gibi diğer kritik altyapı kuruluşlarına da dikti. Geçen yıl ABD’de kaydedilen bir olayda, Pensilvanya Aliquippa Belediye Su İdaresi, sistemleri İsrail karşıtı bir mesajla tahrif etmek için internete açık Unitronics programlanabilir mantık denetleyicilerinden (PLC’ler) yararlanılarak ihlal edildi.
Censys, ICS sistemlerini izlemek ve onlarla etkileşimde bulunmak için kullanılan HMI’ların, uzaktan erişimi desteklemek üzere İnternet üzerinden giderek daha fazla kullanıma sunulduğunu buldu. Açığa çıkan HMI’ların çoğunluğu ABD’de bulunuyor ve bunu Almanya, Kanada, Fransa, Avusturya, İtalya, İngiltere, Avustralya, İspanya ve Polonya takip ediyor.
İlginç bir şekilde, belirlenen HMI’ların ve ICS hizmetlerinin çoğu, diğerlerinin yanı sıra Verizon, Deutsche Telekom, Magenta Telekom ve Turkcell gibi mobil veya kurumsal sınıf internet servis sağlayıcılarında (ISP’ler) bulunuyor ve sistemi gerçekte kimin kullandığına dair ihmal edilebilir meta veriler sunuyor.
Censys, “HMI’lar genellikle sahibinin ve sektörün tanımlanmasına yardımcı olabilecek şirket logoları veya tesis adlarını içerir” dedi. “ICS protokolleri aynı bilgileri nadiren sunuyor, bu da risk sahiplerinin belirlenmesini ve bilgilendirilmesini neredeyse imkansız hale getiriyor. Bu hizmetleri barındıran büyük telekomünikasyon şirketlerinin işbirliği, bu sorunu çözmek için muhtemelen gerekli.”
ICS ve OT ağlarının, kötü niyetli aktörlerin yararlanabileceği geniş bir saldırı yüzeyi sağlaması, kuruluşların açıkta kalan OT ve ICS cihazlarını belirleme ve güvenlik altına alma, varsayılan kimlik bilgilerini güncelleme ve ağları kötü amaçlı faaliyetlere karşı izleme yönünde adımlar atmasını gerektirir.
Bu tür ortamlara yönelik risk, Aisuru, Kaiten, Gafgyt, Kaden ve LOLFME gibi botnet kötü amaçlı yazılımlarının OT varsayılan kimlik bilgilerini yalnızca dağıtılmış hizmet reddi (DDoS) saldırıları gerçekleştirmek için kullanmakla kalmayıp aynı zamanda verileri silmek için de kullanmasıyla daha da artıyor. içlerinde mevcut olan veriler.
Açıklama, Forescout’un Tıpta Dijital Görüntüleme ve İletişim (DICOM) iş istasyonları ve Resim Arşivleme ve İletişim Sistemleri (PACS), pompa kontrolörleri ve tıbbi bilgi sistemlerinin sağlık hizmetleri dağıtım kuruluşları (HDO’lar) için en fazla risk altındaki tıbbi cihazlar olduğunu ortaya koymasından haftalar sonra geldi.
Siber güvenlik şirketi, DICOM’un tıbbi nesnelerin interneti (IoMT) cihazları tarafından en çok kullanılan hizmetlerden biri olduğunu ve siber güvenlik şirketinin önemli sayıda örneğinin ABD, Hindistan, Almanya, Brezilya, İran’da bulunduğunu belirtti. ve Çin.
Forescout güvenlik araştırması başkanı Daniel dos Santos, “Sağlık kuruluşları eski veya standart dışı sistemler kullanan tıbbi cihazlarla ilgili zorluklarla karşılaşmaya devam edecek” dedi.
“Tek bir zayıf nokta, hassas hasta verilerine kapıyı açabilir. Bu nedenle, varlıkların tanımlanması ve sınıflandırılması, ağ iletişim akışının haritalanması, ağların bölümlere ayrılması ve sürekli izleme, büyüyen sağlık hizmeti ağlarının güvenliğini sağlamak için çok önemlidir.”