Kritik Altyapı Güvenliği, Yönetim ve Risk Yönetimi, Operasyonel Teknoloji (OT)
ICS’ye Özgü Kötü Amaçlı Yazılım, Bozucu Saldırılar İçin Modbus Protokolünü Kullanıyor
Prajeet Nair (@prajeetskonuşuyor) •
23 Temmuz 2024
Bilgisayar korsanları, Ukrayna’da kış aylarında 600’den fazla apartman binasının elektrik beslemesini devre dışı bırakmak için yeni bir kötü amaçlı yazılım kullandılar; bu gelişme kritik altyapı için daha geniş bir tehdit oluşturuyor. Dragos’taki siber güvenlik araştırmacıları Salı günü yeni kötü amaçlı yazılıma “FrostyGoop” adını verdi ve Ocak ayındaki konuşlandırmasının sivillerin yaklaşık iki gün boyunca donma noktasının altında sıcaklıklara dayanmasına neden olduğunu söyledi. Operasyonel teknoloji siber güvenlik firması saldırıyı atfetmiyor – ancak Ukrayna, enerji tesislerine saldıran Rus işgalcilerini püskürtmenin üçüncü yılında (bkz: Ukrayna Enerji Sektörü Rus Hackerların Siber Kuşatması Altında).
Ayrıca bakınız: İsteğe Bağlı Panel | HCLTech ve Microsoft ile OT Güvenliğinin Güçlendirilmesi
Ukrayna’daki Siber Güvenlik Durum Merkezi, FrostyGoop’un Ukrayna’nın batısındaki Lviv şehrindeki bir enerji tesisine düzenlenen siber saldırıda kullanıldığını söyledi. Bir sözcü ek ayrıntı vermedi. Wired, Dragos’un saldırı tanımının, Lvivteploenergo tesisinde Ocak ayında yaşanan bir kesintiyle çok yakından örtüştüğünü ve 100.000 kişinin ısıtma ve sıcak su kaybına uğradığını bildirdi. Lviv Belediye Başkanı Andriy Sadovyi o sırada Telegram’da yetkililerin “dış müdahaleden” şüphelendiğini söyledi.
Dragos, bilgisayar korsanlarının muhtemelen “dışarıya bakan bir yönlendiricideki belirsiz bir güvenlik açığı” aracılığıyla kurban ağına eriştiğini söyledi. Bilgisayar korsanları, ağ segmentasyonunun eksikliği nedeniyle Litvanya firması Axis Industries tarafından üretilen ENCO sistem denetleyicilerine erişebilir.
Endüstriyel kontrol sistemleri için geliştirilen diğer kötü amaçlı yazılımların aksine, FrostyGoop Modbus TCP olarak bilinen standart ağ protokolünü kullanarak operasyonel teknolojiyle doğrudan etkileşime girebilir. Araştırmacılar, “Çeşitli ICS cihazlarıyla doğrudan etkileşime girme potansiyeli, birçok sektördeki kritik altyapı için ciddi bir tehdit oluşturuyor” dedi.
Dragos’un başlıca düşman avcısı Mark “Magpie” Graham, firmanın Avrupa’da açık internete maruz kalan en az 40 ENCO kontrol cihazı tespit ettiğini ve bu durumun onları benzer saldırılara karşı savunmasız hale getirdiğini söyledi. Bu cihazlar, dünya çapında 46.000’den fazla açık Modbus TCP cihazıyla birlikte, parametreleri değiştirmek ve yetkisiz komutlar göndermek için kötü niyetli aktörler tarafından manipüle edilebilir.
Saldırganların hedeflenen ağa muhtemelen Nisan 2023’te erişim sağladığı ve 22 Ocak’ta elektriği kesmeden önce ağa erişmeye devam ettiği tahmin ediliyor. Dragos, bilgisayar korsanlarının Moskova’da bulunan IP adreslerini kullanarak bağlandığını tespit etti.
FrostyGoop, girişleri, çıkışları ve yapılandırma verilerini içeren bir ICS cihazının tutma kayıtlarını okuyabilir ve yazabilir.
Kötü amaçlı yazılım Golang’da yazılmış ve Windows sistemleri için derlenmiştir. İsteğe bağlı komut satırı yürütme argümanlarını kabul eder ve IP adreslerini ve Modbus komutlarını hedeflemek için ayrı yapılandırma dosyaları kullanır, çıktıyı bir konsola veya JSON dosyasına kaydeder.
Dragos’a göre FrostyGoop, özellikle endüstriyel kontrol sistemleri için bilinen dokuzuncu kötü amaçlı yazılımdır. Operasyonel teknolojinin artan riske maruz kalmasıyla ilgili uyarılar, Rusya’nın Ukrayna’yı fethetme çabasıyla birlikte artmıştır. Avrupa’nın güvenlik ajansı 2022’de devlet destekli bilgisayar korsanlığı gruplarının jeopolitika siber tehdit manzarasını etkiledikçe operasyonel teknolojiye daha fazla dikkat edecekleri konusunda uyardı. Risk Avrupa ile sınırlı değil. ABD yetkilileri bu yılın başlarında Volt Typhoon olarak izlenen bir Çinli bilgisayar korsanlığı grubunun muhtemelen yıkıcı siber saldırılar başlatmak için önceden konumlandığını söyledi (bkz: FBI’ın Büyük Bir Çin Hackleme Kampanyasını Nasıl Durdurduğu İşte Böyle).