ABD hükümeti, Rusya yanlısı hacktivistlerin kritik altyapı operasyonlarını aksatmak için kullanılan güvenli olmayan operasyonel teknoloji (OT) sistemlerini araştırıp hackledikleri konusunda uyarıyor.
Ortak danışmanlık, CISA, FBI, NSA, EPA, DOE, USDA ve FDA dahil olmak üzere altı ABD devlet kurumunun yanı sıra Kanada Siber Güvenlik Merkezi Çok Eyaletli Bilgi Paylaşımı ve Analiz Merkezi’nden (MS-ISAC) geliyor ( CCCS) ve Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC-UK).
OT cihazları, üretim, kritik altyapı ve diğer endüstrilerdeki fiziksel süreçleri veya etkinlikleri izlemek ve kontrol etmek için kullanılan donanım ve yazılım platformlarının bir birleşimidir. Örneğin su tesisleri, sürekli ve güvenli bir su tedariki sağlamak amacıyla su arıtmayı, dağıtımını ve basıncını yönetmek için OT cihazlarını kullanır.
Bugün yayınlanan bir tavsiye belgesinde ABD hükümeti, Rus yanlısı bilgisayar korsanlarının operasyonları aksatmak veya “rahatsız edici etkiler” yaratmak için 2022’den bu yana güvensiz ve yanlış yapılandırılmış OT cihazlarını hedef aldığı konusunda uyarıyor.
Ortak tavsiyede, “Bu sektörlere karşı Rusya yanlısı hacktivist faaliyet çoğunlukla, ICS ekipmanlarını rahatsız edici etkiler yaratmak için manipüle eden karmaşık olmayan tekniklerle sınırlı görünüyor” yazıyor.
“Ancak araştırmalar, bu aktörlerin güvensiz ve yanlış yapılandırılmış OT ortamlarına karşı fiziksel tehdit oluşturan teknikler kullanabildiğini tespit etti.”
Hükümet, saldırıların çoğunun abartıldığını söylüyor ancak 2024’teki son saldırılardan bazıları biraz daha aksamaya yol açtı.
Rusya’nın Siber Ordusu olarak bilinen Rusya yanlısı bir hacktivist grup, Teksas ve Indiana’daki su arıtma ve işleme tesislerinin yanı sıra Polonya ve Fransa’daki su altyapısına yönelik saldırıların arkasında olduğunu iddia etti.
Teksas su tesisi bir saldırının tankın taşmasına neden olduğunu doğrularken, Indiana atık su arıtma tesisi CNN’e hedef alındıklarını ancak ihlal edilmediklerini söyledi.
Siber Ordu ve diğer gruplar hacktivist olduklarını iddia ederken, yakın tarihli bir Mandiant raporu, grubu, APT44 olarak takip edilen ve ülkenin yabancı askeri istihbarat teşkilatı olan Rusya Ana İstihbarat Müdürlüğü (GRU) ile bağlantılı gelişmiş bir kalıcı tehdit aktörü olan Sandworm bilgisayar korsanlarıyla ilişkilendirdi.
OT cihazlarına yönelik saldırıları azaltma
Danışmanlık belgesi, devlet kurumlarının bu hacktivistlerin çoğunlukla VNC’yi kullanarak farklı teknikler aracılığıyla OT cihazlarını hedef aldığını gördüğü konusunda uyarıyor:
- İnsan makine arayüzlerine (HMI’ler) erişmek ve temeldeki OT’de değişiklik yapmak için VNC Protokolünü kullanma. VNC, OT sistemlerini kontrol eden HMI’lar da dahil olmak üzere grafik kullanıcı arayüzlerine uzaktan erişim için kullanılır.
- OT sistemlerini kontrol etmek amacıyla HMI’larda oturum açmak için VNC Uzak Çerçeve Arabelleği Protokolünden yararlanılıyor.
- Çok faktörlü kimlik doğrulamayla korunmayan hesaplarda varsayılan kimlik bilgilerini ve zayıf parolaları kullanarak HMI’lara erişmek için Bağlantı Noktası 5900 üzerinden VNC’den yararlanma
Bu saldırılara karşı koruma sağlamak için danışma belgesi, HMI’ları güvenlik duvarlarının arkasına yerleştirmek, VNC kurulumlarını güçlendirmek, çok faktörlü kimlik doğrulamayı etkinleştirmek, en son güvenlik güncellemelerini uygulamak, varsayılan şifreleri değiştirmek ve BT ortamlarının genel güvenlik durumunu artırmak da dahil olmak üzere çok çeşitli adımlar sunar.
NSA’nın Siber Güvenlik Direktörü Dave Luber, “Bu yıl Rusya yanlısı hacktivistlerin hedeflerini savunmasız Kuzey Amerika ve Avrupa endüstriyel kontrol sistemlerini kapsayacak şekilde genişlettiklerini gözlemledik” dedi.
“NSA, kritik altyapı kuruluşlarının OT yöneticilerinin, siber güvenlik duruşlarını iyileştirmek ve sistemlerinin bu tür hedeflemeye karşı savunmasızlığını azaltmak için, özellikle varsayılan şifreleri değiştirerek, bu raporda belirtilen hafifletici önlemleri uygulamalarını şiddetle tavsiye ediyor.”