Kritik Altyapı Güvenliği
Saldırı, Kritik Altyapı Güvenlik Açıklarının Altını Vurguluyor
Bay Mihir (MihirBagwe) •
14 Ağustos 2023
Araştırmacılar, endüstriyel fidye yazılımı saldırılarının artan risklerinin altını çizen bir saldırıda, Rusça konuşan bir hizmet olarak fidye yazılımı operasyonu, güney Afrika’daki bir elektrik kuruluşunun ağına kötü amaçlı yazılım dağıtmaktan sorumlu olabilir.
Ayrıca bakınız: Forrester Wave™ IaaS Platform Yerel Güvenlik Raporu
Bilinmeyen bir aktör, Cobalt Strike ile birlikte DroxiDat adlı emtia kötü amaçlı yazılım SystemBC’nin bir çeşidini yardımcı programa yerleştirdi. DEV-0237 olarak.
Kaspersky, olayın muhtemelen bir fidye yazılımı saldırısının ilk aşamaları olduğunu söyledi.
Rusya’nın Şubat 2022’de Ukrayna’yı işgal etmesinin ardından, enerji sektörüne kar amacı güden veya ulus devletler tarafından gerçekleştirilen siber saldırılara ilişkin endişeler arttı. Mayıs ayında siber güvenlik firması Mandiant, Rus operasyonel teknoloji kötü amaçlı yazılımının yeni bir türünü tespit etti ve bunun Avrupa, Orta Doğu ve Asya’da elektrik kesintilerine neden olabileceği konusunda uyarıda bulundu. Amerika Birleşik Devletleri’ndeki siber uzmanlar, Çin’in elektrik altyapısına yönelik büyüyen bir tehdit olarak artan endişelerini dile getirdiler. Kaspersky tarafından alıntılanan küresel enerji sektörüyle ilgili 2019 anketi, yanıt verenlerin yarısından fazlasının “son 12 ayda özel bilgilerin kaybını veya OT ortamında bir kesintiyi içeren en az bir saldırı” bildirdiğini ortaya koyuyor.
SystemBC, ilk olarak 2019’da tespit edilen bir proxy ve uzaktan yönetim aracıdır. Bugüne kadarki en ünlü uygulaması, fidye yazılımı kaynaklı kesintisi tüketicilerde gaz kıtlığına neden olan Amerikan petrol distribütörü Colonial Pipeline’a yönelik hizmet olarak DarkSide fidye yazılımı saldırısıydı. Amerika Birleşik Devletleri’nin Güney ve Orta Atlantik bölgeleri boyunca (bkz: FBI: Colonial Pipeline Saldırısında DarkSide Fidye Yazılımı Kullanıldı). FIN12’ye işaret eden diğer göstergeler, Windows performans günlükleri klasörünün kullanılmasını içerir. C:perflog aynı lisans kimliğini, hazırlık dizinlerini ve bazen aynı komuta ve kontrol altyapısını paylaşan Cobalt Strike’ı içeren depolama ve geçmiş fidye yazılımı olayları için.
SystemBC, farklı fidye yazılımı grupları tarafından yaygın olarak kullanılır ve genellikle Emotet botnet veya SmokeLoader arka kapısı aracılığıyla dağıtılır.
Kaspersky, en yeni varyantın önceki SystemBC sürümlerinden çok daha kompakt (8 kilobayt boyutunda) olduğunu buldu. DroxiDat’ın arkasındaki kodlayıcılar, kötü amaçlı yazılımın işlevlerinin çoğunu kaldırarak onu “basit bir sistem profil oluşturucu – dosya adı, kullanım durumu ‘syscheck.exe’ olarak gösteriyor” olarak bıraktı. DroxiDat yeni modülleri indirip çalıştırmaz. “Uzak dinleyicilerle bağlantı kurabilir, verileri ileri geri iletebilir ve sistem kayıt defterini değiştirebilir.”
Kaspersky araştırmacıları, Güney Afrikalı bilgisayar korsanlarının DroxiDat ve System BC’yi Brezilya enerji şirketleri Eletrobras ve Copel’e yönelik 2021 fidye yazılımı saldırısında DarkSide grubunun üyeleri tarafından da hedeflenen sistem varlıklarına dağıttığını söyledi.