Yeni bir internet tabanlı saldırı sınıfı, güneş enerjisi altyapısını yüksek riskli bir hedefe dönüştürüyor ve bilgisayar korsanlarının açık bağlantı noktaları ve ücretsiz araçlardan başka bir şey kullanmadan enerji üretimini dakikalar içinde kesintiye uğratmasına olanak tanıyor.
Modern güneş enerjisi çiftlikleri, SCADA kontrolörleri ve dizi izleme kutuları da dahil olmak üzere ağ bağlantılı operasyonel teknolojiye güveniyor; bunların birçoğu hala yerleşik güvenliği olmayan eski bir protokol olan Modbus’u konuşuyor.
Bu cihazlar çevrimiçi ortamda açığa çıktığında, saldırganlar tek bir paketle açık ve güneşli günlerde elektriği kesen kontrol komutlarını uzaktan gönderebiliyor.
.webp)
Bu, tehdit aktörlerinin PV modülleri, dizi izleme kutuları ve SCADA sistemleriyle mantıksal olarak nasıl entegre edildiğini gösterir.
Cato Networks analistleri, güneş paneli çıkışını doğrudan yöneten Modbus özellikli dizi izleme kutularını hedef alan büyük ölçekli keşif ve kullanım girişimlerine dikkat çekti.
Rakipler, genellikle 502 numaralı bağlantı noktasında açığa çıkan TCP üzerinden Modbus’u kötüye kullanarak aygıt durumunu okuyabilir ve ardından dizeleri açıp kapatan kontrol bitlerini çevirebilir.
Sıfır gün açıklarından yararlanmaya veya karmaşık yüklere gerek yoktur; Risk, varsayılan olarak açık hizmetlerden ve tasarımı gereği güvenli olmayan protokollerden kaynaklanmaktadır. Bir saldırgan ulaşılabilir bir cihazı tanımladığında, ilk araştırmadan etkili güç kesintisine kadar geçen süre günlerden dakikalara inebilir.
Cato Networks’teki araştırmacılar, bu saldırıların, OT varlıklarına yönelik tarama, parmak izi alma ve komut enjeksiyonunu otomatikleştiren aracı yapay zeka çerçeveleriyle birleştirildiğinde daha da ölçeklendiğini buldu.
Yapay zeka destekli araçlar, geniş IP aralıklarını tarayabilir, açıktaki Modbus hizmetlerini keşfedebilir ve yazılabilir kayıtları makine hızında test edebilir. İnsan savunucuları izleme ve müdahalede bu hıza ayak uydurmaya çalışırken, bu durum güneş enerjisi operatörleri için tehdit modelini değiştiriyor.
Kaynak analizi zayıf noktayı vurguluyor: Modbus’u konuşan ve PV dizilerini SCADA “beynine” bağlayan dizi izleme kutusu. Bu kutunun güvenliği ihlal edildiğinde, saldırgan etkin bir şekilde hileli bir SCADA operatörü haline gelir.
Gerilim ve akıma ilişkin tutma kayıtlarını okumak için basit Modbus fonksiyon kodlarını kullanabilir, ardından sistem durumunu değiştiren bobin veya kayıt değerlerini yazabilirler. Birçok dağıtımda bu kutular, BT ve OT arasında hiçbir segmentasyon olmaksızın düz ağlar üzerinde yer alır ve bu da yanal hareketi daha da kolaylaştırır.
Modbus Üzerinden Komut Düzeyinde Manipülasyon
Bu tehdidin merkezinde Modbus/TCP üzerinden doğrudan kayıt manipülasyonu yer alıyor. Saldırganlar, bir ana bilgisayarın 502 numaralı bağlantı noktasında Modbus çalıştırdığını doğrulamak ve aygıt kimliklerini numaralandırmak için Nmap’in Modbus NSE komut dosyalarını kullanarak temel keşifle başlar.
OT keşif için tipik bir Nmap komutu şuna benzer: –
bashnmap -sV -p 502 --script modbus-discover
Bu adım, hangi ünite kimliklerinin yanıt verdiğini ve hangi işlev kodlarının desteklendiğini ortaya çıkarır. Rakipler buradan kayıtları okumak ve yazmak için mbpoll veya modbus-cli gibi araçlara yöneliyor.
Örneğin, kötü niyetli bir operatör, bir kontrol kaydına belirli bir değer yazarak bir PV dizesini kapatmaya çalışabilir: –
bashmbpoll -m tcp -t 0 -r 0xAC00 -0 1
# 0xAC00 mapped as SWITCH OFF
Belgelenen durumlarda, 0xAC00 ve 0xAC01 gibi kayıtlar sırasıyla “SWITCH OFF” ve “SWITCH ON” ile eşlenir.
Saldırgan, bu komutları döngüye sokarak dizileri hızlı bir şekilde değiştirebilir, invertörleri zorlayabilir veya tesisi çevrimiçi bırakırken üretimi sessizce azaltabilir.
Yapay zeka destekli mantığa sarıldığında komut dosyaları sürekli olarak kabul için araştırma yapabilir, başarısız yazma işlemlerini yeniden deneyebilir ve kısmi savunmalara uyum sağlayarak basit kayıt ayarlarını güvenilir, tekrarlanabilir istismarlara dönüştürebilir.
.webp)
Cato Networks raporu, yüksek riskli olarak değerlendirilen ve aşırı hoşgörülü güvenlik duvarı kurallarına bağlı olan, açıkta kalan Modbus bağlantı noktası 502’ye gerçek dünyadan gelen bir uyarıyla sorunun altını çiziyor.
Bu bulgular birlikte, güneş enerjisi varlıklarındaki internete açık Modbus hizmetlerinden hızlı, yüksek etkili şebeke kesintisine neden olmak için nasıl yararlanılabileceğine dair kapsamlı bir teknik analiz sağlıyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
