Araştırmacılar, siber suçluların çeşitli savunma kuvvetlerine ait Endüstriyel Kontrol Sistemi (ICS) ile ilgili ürünlere ve yazılımlara erişmek için varsayılan kimlik bilgilerini kullandığını buldu.
Cyble Research & Intelligence Labs (CRIL) araştırmacıları, dark web’de siber suçlular tarafından ordu ve kolluk kuvvetleri (LEA) tarafından kullanılan veri ve sistemlere erişimleri olduğunu iddia etmek için kullanılan ekran görüntülerini içeren birkaç gönderiye rastladı.
Siber suçlular ne iddia etti?
Dark web’deki gönderilere göre, siber suçlular bir Kuzey Afrika ülkesinin askeri üssünün denetleyici kontrol ve veri toplama (SCADA) sistemlerine ve termal görüntüleme kameralarına eriştiklerini iddia ettiler.
Aynı şeyi kanıtlamak için bir termal görüntüleme kamera sistemine ait olduğu iddia edilen erişim panelinin resimlerini yayınladılar. Hacker topluluğu ayrıca, CRIL araştırmacılarının meşru olduğunu onayladığı IP adreslerine sahip olduğunu iddia etti.
Panel, askeri sınıf TI kameralar üreten büyük bir ekipman üreticisine aitti. CRIL araştırmacıları, bu sistemlere erişimleri varsa, hayati fiziksel varlıklar, hava durumu, çevre, otomatik hedef belirleme ile birlikte hareketli hedefler ve tehlikeli ortamları izleme konusunda gerçek zamanlı casusluk fırsatlarına sahip olabileceklerini belirtti.
Dark web’de paylaşılan paylaşımda, Kuzey Afrika’daki bir askeri üste ait olduğu iddia edilen havadan görüntülere IP adresiyle yer verildi. Araştırmacıların öne sürdüğü ağ erişim kodlarına sahip gibi görünüyorlar, varlıklara ağ erişimi sağlamak için istismar etmiş olabilirler.
Ürünün havadan görünümüne dayalı ek araştırmalar, CRIL araştırmacılarının aynı ürünün 607’den fazla maruz kalan örneğinin bir çevrimiçi tarayıcı tarafından bulunduğunu tespit etmesine yol açtı.
Termal kamera sistemlerinin durumu
Araştırmacılar, internete açık termal görüntüleme kamera sistemlerinde, siber suçluların bu sistemleri kullanarak askeri üslere siber saldırılar düzenlemesine yol açabilecek çok sayıda güvenlik açığı buldu.
Kimlik bilgileri ve bilgi ifşalarının yanı sıra kimliği doğrulanmamış uzaktan kod yürütme işlemi yaptırabilirler.
Siber suçlular, yanlış yapılandırılmış kamera sistemlerini kullanarak ordunun gözetimini bozabilir ve açığa çıkan dahili ağlar aracılığıyla siber casusluk yapabilir. Sistem verilerine erişmek için keşif yapabilirler.
Modbus kullanımı
Gönderiye göre, endüstriyel ağlar arasında önemli bir iletişim kanalı olan Modbus protokolü de siber suçlular tarafından istismar edildi.
Hacker’ların SCADA sistemlerinin yanı sıra satıcı adları, ürünler, bobinler ve kullandıkları elektronik cihazların sürüm numaraları dahil olmak üzere sistem verilerini elde etmek için keşif yaptıkları iddia edildi.
CRIL araştırmacıları, Modbus protokolündeki güvenlik açıklarının, virüslü paketleri Modbus üzerindeki programlanabilir mantık denetleyicilerine göndermek için kullanılabileceğine dikkat çekti. Bu, kritik altyapının çalışmasını etkileyen operasyonları durdurabilir.
metaspoilt çerçevesi
Rapor, keşif saldırıları başlatmak için çeşitli modüller sunduğu için siber suçluların ICS sistemlerini etkilemek için metaspoilt çerçevesini nasıl kullandıklarını daha ayrıntılı olarak ele aldı.
Cyble Global Sensor Intelligence (CGSI) ağından gelen istihbarata dayanarak araştırmacılar, aşağıda gösterildiği gibi son 30 gün içinde Modbus protokolü aracılığıyla birkaç istismar girişiminin yapıldığını doğruladı:
Rainbow SCADA’nın web arayüzü de muhtemelen sistemlerin varsayılan fabrika kimlik bilgileri kullanılarak hedef alındı. Rainbow SCADA, tüm Datakom ürünleri ile çalışan, internet tabanlı bir uzaktan izleme aracıdır. Siber suçlular ve ordunun tehlikeli kurbanları için onu istismar etmeyi arzu edilen bir hedef haline getiren enerji sayaçlarını ve denetleyicilerini izlemek için kullanılır.
En yaygın kullanılan araçlardan biri olan SCADA sistemlerinin istismar edilmesinin nedenlerinden birinin, verimsiz ağ bölümlendirmesi ve varlıkların mükemmelden daha az görünürlüğü olduğu tahmin ediliyor. İnternet üzerinden açığa çıkan SCADA sistemleri, yalnızca operasyonları değil, aynı zamanda onları kullanan personelin, özellikle de ağır makinelerle çalışanların hayatlarını da tehlikeye atar.
CRIL araştırmacıları, yanal hareket kabiliyetlerini azaltmak için yeterli ağ segmentasyonunu uygulamaya ve varlıklara daha iyi görünürlük sağlamak için Yazılım Malzeme Listesini (SBOM) kullanmaya çağırdı. Fabrika varsayılan kimlik bilgilerini değiştirdikten sonra güçlü bir parolaya sahip olmak, denetimler ve sızma testi alıştırmaları ile birlikte bir zorunluluktur.