Çin, Rusya, İran’dan Gruplar Dünya Çapında OT Sistemlerine Vuruyor

Siber savaş / ulus-devlet saldırıları, uç nokta güvenliği, sahtekarlık yönetimi ve siber suç

Tehdit grupları gelecekteki hedefleme için OT ağlarını haritalıyor, Dragos’u uyarıyor

Jayant Chakravarti (@Jayjay_tech) •
13 Mart 2025

Birkaç ulus-devlet grubu aktif olarak operasyonel teknoloji sistemlerini hedefliyor, en belirgin olanı, cybersecurity firma firmasına göre, kritik altyapı organizasyonlarına ağ diyagramları, OT işletim talimatları ve coğrafi bilgi sistemleri hakkında bilgi çalma talimatları ve bilgileri çalmaya saldıran Çin bağlantılı bir tehdit grubudur.

Ayrıca bakınız: Gartner Raporu | SD-WAN için Sihirli Çeyrek

Dragos Çarşamba günü yaptığı açıklamada, şirketin izlediği üç aktif ulus devlet grubundan biri olan Voltzite, Çin devlet destekli hacker Grubu Volt Typhoon ile kapsamlı teknik örtüşmeler gösterdiğini, internete dönük VPN cihazlarında ve ateşli duvarlarda güvenlik açıklarından yararlanarak OT ağlarına sızdığını ve sapkınlık elde etmek ve tespit edilen tespiti elde etmek için mevcut araçlar kullandığını söyledi.

Dragos araştırmacıları, sadece OT altyapısını hedeflediği bilinen tehdit grubunun, tehlikeye atılmış küçük ofis ve ev ofis yönlendiricileri ve elektrik kamu hizmetleri tarafından işletilen operasyonel röle kutusu ağlarını kullanarak ağ altyapısının karmaşık zincirlerini kurduğunu söyledi. Grup daha sonra bu güvenilir cihazları, kamu hizmetleri tarafından sunulan enerji ve telekomünikasyon hizmetlerini kullanan kritik altyapı kuruluşlarının ağlarına erişmek için kullandı.

Dragos, “Voltzite, kritik altyapı izlemek için tartışmasız en önemli tehdit grubudur. OT verilerine özel odaklanmaları nedeniyle ICS varlık sahipleri ve operatörleri için yetenekli bir tehdittir.” Dedi. “Çoğu durumda Dragos, enerji sistemlerinin mekansal düzeni hakkında kritik bilgiler içeren CBS verilerini pespiltrat eden voltzit gözlemledi.”

Dragos, Voltzite ve Volt Typhoon arasında teknik örtüşmeler bulsa da, ABD siber güvenlik ve altyapı güvenlik ajansı her iki ismi de Çin devlet destekli tek bir tehdit grubuyla ilişkilendiriyor. Siber güvenlik ajansı, FBI ve NSA ile birlikte, daha önce grubun, büyük bir kriz veya ABD ile çatışma durumunda yıkıcı operasyonlar yürütmesi için kritik altyapı ağlarında önceden konumlandırılmış kötü amaçlı yazılımlar olduğu konusunda uyardı.

Dragos’a göre, Siber Tesis Grubu, hedeflenen OT ağlarına ilk erişim elde etmek için popüler VPN ürünlerindeki sıfır gün ve bilinen güvenlik açıklarından yararlandı. Aralık 2023’te grup, Japonya, Güney Kore, Guam, Filipinler ve Avrupa’daki petrol ve gaz, elektrik, su ve atık su kamu hizmetlerinden ve Kuzey Amerika’daki firmalardan ödün vermek için Ivanti’nin Connect Secure VPN’sinde sıfır gün uzaktan kod yürütme kusuru ve başka bir komut enjeksiyon kusurundan yararlandı.

Bir FBI soruşturması, voltzitin öncelikle KV botnet’inin bir parçası olarak tehlikeye atılmış Cisco ve Netgear yönlendiricileri kullandığını buldu. Bu yönlendiriciler yaşamın sonuna ulaşmıştı ve artık üreticilerden güvenlik yamaları almamıştı. FBI araştırmacıları, ABD Adalet Bakanlığı ile birlikte, Tehdit Grubu tarafından kaçırılan yüzlerce ABD merkezli küçük ofis/ev ofis yönlendiricilerinde bir botnet’i bozmak için Aralık 2023’te mahkeme yetkili bir operasyon gerçekleştirdi.

Güçlü botnet’leri kullanarak başlangıç ​​erişimini sağladıktan sonra, grup bir webshell kullandı ve uzaktan kodu yürütmeden önce, yapılandırma verilerini çalmadan ve VPN cihazından ters tünel oluşturmadan önce VPN günlüklerini ve devre dışı VPN günlüğünü sildi.

Grup, Ocak 2024’te coğrafi bilgi sistemleri hakkında verilerin ortaya çıkması amacıyla ABD merkezli bir telekomünikasyon hizmet sağlayıcısında keşif yaptı. Ayrıca, 2024’ün sonlarında elektrik, fayda ve telekomünikasyon kooperatif altyapısında SOHO cihazlarını tehlikeye attı ve Kuzey Amerika, Avrupa ve Yeni Zelanda’daki internet hizmet sağlayıcıları ve telekomünikasyon şirketleri ağlarına bir webshell yerleştirmesi için savunmasız ASUS yönlendiricilerini kullandı.

Dragos araştırmacıları, Voltzite’in kötü niyetli OT’ye özgü kötü amaçlı yazılımlar yapmak ve bunları uyarı yapmadan engellemek için bunları kullanmak için çalınan OT ağ diyagramlarını, OT kullanım talimatlarını ve CBS verilerini kullanabileceğini söyledi. Grup, kritik altyapı ağı kenar cihazlarına karşı ağ keşif yapmak ve gelecekteki hedefleme için internete maruz kalan kritik altyapıyı numaralandırmak için KV-Botnet ve Jdy-botnet dahil özel botnetler kullanıyor.

Grafit ve boksitin tanıtılması

Siber güvenlik şirketi, yakın zamanda grafit ve boksit olarak izlediği ve aynı zamanda özellikle ülkelerdeki ve bölgelerdeki kritik altyapı organizasyonlarını hedefleyen iki yeni siber suç grubunu keşfettiğini söyledi.

Rus siber suç grubu APT28 ile güçlü teknik örtüşen grafit, Doğu Avrupa ve Asya’da Ukrayna çatışmasında rol oynayan endüstriyel ve enerji örgütlerini hedeflemiştir. Grup, Hidroelektrik Üretim Tesisleri ve Doğu Avrupa ve Orta Doğu’daki diğer ICS organizasyonlarını tehlikeye atmak için Microsoft Outlook’taki bir tıklamasız kusurdan yararlandığı 2023 yılının başlarında varlığını duyurdu.

İran yanlısı Cyberav3Ngers ile araç ve ağ altyapısını paylaşan boksit, ABD, Avrupa, Avustralya ve Orta Doğu’da petrol ve gaz, elektrik, su ve atık su kamu hizmetleri ve kimyasal üretim tesislerini hedefledi. Dragos, “OEM’lerden ve ICS protokollerinden güvenlik danışmanlarını kapsamlı bir şekilde izleyerek gelecekteki kampanyalarda hedeflemek için bilinen güvenlik açıklarını belgeliyor ve kataloglayarak.” Dedi.

Dragos, boksit, grafit ve voltzit gibi grupların hedeflerinin seçiminin, günümüzün siber saldırılarının ve casusluk operasyonlarının, jeopolitik gerginlikleri artırarak ve bunların küresel olarak endüstriyel operasyonlarla kesişmesiyle yoğun bir şekilde yönlendirildiğini söyledi.

Şirket, “Bir zamanlar OT/ICS’den bir zamanlar farkında olmayacak veya göz ardı edilecek rakipler, bunu kesintiye ve dikkat çekmek için etkili bir saldırı vektörü olarak görüyorlar.” Dedi. Diyerek şöyle devam etti: “Bu değişim, OT’nin daha derin bir teknik anlayışının göstergesi değil, ancak düşman hedeflerine ulaşmada faydasının daha yaygın bir şekilde tanınmasını yansıtıyor.”