Özellikle endüstriyel kontrol sistemlerini (ICS), Nesnelerin İnterneti’ni (IoT) ve operasyonel teknoloji (OT) kontrol cihazlarını hedeflemek için tasarlanmış kötü amaçlı yazılımlar hala nadirdir, ancak son birkaç hafta içinde güvenlik araştırmacıları VirusTotal’a yüklenen örneklere dayanarak iki belirgin tehdit belirlediler :
- Claroty’nin Team82 araştırmacıları, farklı satıcıların çeşitli platform ve cihazlarında çalışacak kadar genel görünen bir kötü amaçlı yazılım olan IOCONTROL’u ortaya çıkardı.
- Forescout’un Vedere Labs araştırmacıları, Chaya_003 adını verdikleri ve görünüşe göre Siemens TIA Portal yazılımını çalıştıran mühendislik iş istasyonlarını hedef alan bir kötü amaçlı yazılım parçasının yerini belirlediler.
IOCONTROL
Claroty’nin araştırmacıları, “IOCONTROL’ün batı IoT ve operasyonel teknoloji (OT) cihazlarına karşı küresel bir siber operasyonun parçası olduğuna inanılıyor” dedi.
“Team82, buradan çıkarılan bir kötü amaçlı yazılım örneğini analiz etti. [the Gasboy fuel management system] bunun geçen sonbaharda Unitronics saldırısından da sorumlu olduğuna inanılan, CyberAv3ngers olarak bilinen, İran’la bağlantılı bir tehdit aktörü grubu tarafından ele geçirildiği iddia ediliyor.”
Araştırmacılar, kötü amaçlı yazılımın etkilenen sistemlere nasıl yayıldığını bilmiyor ancak saldırganların işletim sistemi komutlarını uzaktan yürütmesine ve kendisini silmesine olanak tanıyor.
“IOCONTROL, Gasboy’un OrPT adı verilen Ödeme Terminalinin içinde saklanıyordu. Ödeme terminali üzerinde tam kontrole sahip bir saldırgan, yakıt hizmetlerini kapatma ve potansiyel olarak müşterilerden kredi kartı bilgilerini çalma olanağına sahip olduğu anlamına geliyor” dedi.
Kötü amaçlı yazılımın yönlendiricilerde, programlanabilir mantık denetleyicilerinde (PLC’ler), insan-makine arayüzlerinde (HMI’lar), güvenlik duvarlarında ve Baicells, D-Link, Hikvision, Red Lion, Orpak tarafından üretilen diğer Linux tabanlı IoT/OT platformlarında çalışabildiği görülüyor. Phoenix Contact, Teltonika, Unitronics ve diğer satıcılar.
Chaya_003
Mühendislik iş istasyonları genellikle popüler işletim sistemlerini (genellikle Windows) ve saha (OT) cihazlarının devreye alınması ve programlanması için özel mühendislik yazılımlarını çalıştırır.
Forescout araştırmacıları VirusTotal’da iki tür yapıt aradı: genel amaçlı kötü amaçlı yazılımdan etkilenen mühendislik yazılımı yürütülebilir dosyaları ve mühendislik yazılımıyla etkileşime giren potansiyel olarak kötü amaçlı dosyalar.
Aramalarını Codesys (v2), Rockwell Automation (RSLogix500), Phoenix Contact (PC Worx), Siemens (TIA portalı) ve Mitsubishi (GX Works) tarafından geliştirilen mühendislik yazılımlarıyla sınırlandırdılar ve şunları buldular:
- Mitsubishi mühendislik iş istasyonlarını etkileyen iki Ramnit kümesi – örnekler sırasıyla Kanada ve ABD’den gönderildi
- Bir mühendislik iş istasyonunda çalışan Siemens TIA Portal işlemlerini (diğer işlemlerle birlikte (tarayıcılar, Office uygulamaları vb.)) öldürmeye çalışan üç kötü amaçlı ikili dosya.
Ramnit, kimlik bilgileri hırsızlığına ve uzak masaüstü bağlantılarına izin veren bir truva atıdır ve OT yazılımının çalıştırılabilir dosyalarına kötü amaçlı kodlar sararak bu dosyalara bulaştığı bilinmektedir.
Ancak Chaya_003 örnekleri, OT’ye özgü kötü amaçlı yazılım gibi göründüğü için ilgilerini çekti.
“Yazarlar özellikle Siemens süreç adını eklediğinden, kötü amaçlı yazılımın Siemens mühendislik yazılımını çalıştıran makineleri hedef alması çok muhtemel” [Siemens.Automation.Portal.exe] Forescout’un Vedere Laboratuvarları Tehdit Araştırması Kıdemli Direktörü Daniel dos Santos, Help Net Security’ye şöyle konuştu: “Öldürmeye çalıştığı işlemler listesinde bu tür yazılımlar diğer ortamlarda çalışmayacaktır.”
Analiz ettikleri üç numunenin adı test.exe, Isass.exe Ve elsass.exe3 ve 4 Ekim 2024 tarihlerinde Belçika’dan gönderildi.
Araştırmacılar, “‘Isass.exe’ ve ‘elsass.exe’ adları, muhtemelen kullanıcıları kendilerine güvenmeye ikna etme veya antivirüs çözümlerini atlama girişimi olarak kasıtlı sistem işlem adının maskelendiğini gösteriyor” dedi.
Chaya_003, komuta ve kontrol için Discord web kancalarını kullanır ve sistem keşfine ve sürecin kesintiye uğramasına olanak tanır.
Kötü amaçlı yazılımın Discord C2’ye gönderdiği mesajlar Hollandaca, İngilizce ve İspanyolca yazılmıştı. İkincisi, kötü amaçlı yazılımın muhtemelen Katalonya merkezli gruplar tarafından geliştirildiğine ve StackOverflow ile ChatGPT’nin “katkıda bulunduğu” kodu kullandığına işaret eden dizeler içeriyordu.
“İplerden biri için – x86assembly.xyz Dos Santos, “Ayrıca, geçmişte başka kötü amaçlı yazılımlara ev sahipliği yapan bir IP adresine işaret eden, bir süredir kayıtlı olan bir alan adının da bulunduğunu gördük” dedi.
Forescout araştırmacıları, orijinal üç örneğin geliştiriciler tarafından yüklendiğine inanıyor çünkü hepsi aynı yerden geliyor ve açık bir evrimsel model gösteriyor. O zamandan bu yana, daha fazla test yapılması ve hatta (kurbanların kendilerine karşı kullanılan örnekleri yüklemeleri halinde) uygulamaya konulması yönünde işaretler arıyorlar.
Savunmacılara tavsiyeleri şunlardır: Mühendislik iş istasyonlarını güçlendirin (yazılımı güncelleyin, gereksiz bağlantı noktalarını ve hizmetleri devre dışı bırakın, öngörülebilir kimlik bilgilerini değiştirin); BT, IoT ve OT cihazlarını ağ segmentasyonu yoluyla izole edin ve mühendislik iş istasyonlarını aşağıdakilere maruz bırakmayın; internet; ve tehditleri izleyin.
CISA yakın zamanda su ve atık su sistemlerinde kullanılan insan makine arayüzlerinin (HMI’lar) korunması için benzer tavsiyeler sundu.