ABD ve İsrail yetkilileri ortak bir siber güvenlik tavsiyesinde, İran bağlantılı saldırganlar CyberAv3ngers’ın savunmasız Unitronics programlanabilir mantık denetleyicilerinden (PLC’ler) yararlanmaya devam ettiğini söyledi.
CyberAv3ngers Unitronics PLC’lerini hedef alıyor
CISA yakın zamanda İran’a bağlı saldırganların Pensilvanya’daki bir su sistemi tesisindeki Unitronics Vision Serisi PLC’yi ele geçirdiğini doğruladı ve diğer su yetkililerini Unitronics PLC’lerinin güvenliğini derhal sağlamaya çağırdı.
Ajans onlara, PLC tarafından kullanılan varsayılan şifreyi ve bağlantı noktasını değiştirmelerini, açık internet bağlantısını kesmelerini veya güvenlik duvarı, VPN ve çok faktörlü kimlik doğrulama (MFA) kullanarak uzaktan erişimi güvenli hale getirmelerini, konfigürasyon yedekleri oluşturmalarını ve PLC/’yi güncellemelerini tavsiye etti. HMI’ı mevcut en son sürüme yükseltin.
CyberAv3ngers daha önce İsrail’de su, enerji, nakliye ve dağıtım sektörlerinde çalışan kritik altyapı kuruluşlarına yönelik çok sayıda saldırının sorumluluğunu üstlenmişti ve yakın zamanda ABD merkezli çok sayıda su ve atık su tesisi tarafından konuşlandırılan Unitronics PLC’leri hedef aldı.
En son danışma belgesinde kurumlar, APT grubunun faaliyetleri ve en son saldırılarıyla ilişkili risk göstergeleri (IoC’ler) hakkında ek bilgiler paylaştı.
“Bu PLC ve ilgili kontrolörler, kontrol ve izleme işlevlerinin uzaktan yapısından dolayı sıklıkla dış internet bağlantısına maruz kalıyor. Uzlaşma, kontrolörün kullanıcı arayüzünün bozulmasına odaklanır ve PLC’yi çalışmaz hale getirebilir. Bu tür bir erişimle, daha derin cihaz ve ağ düzeyinde erişimler mümkün olur ve süreçler ve ekipmanlar üzerinde ek, daha derin siber fiziksel etkiler yaratabilir”, diye açıklıyor danışma belgesi.
“Bu PLC’lerin veya ilgili kontrol ağlarının ve bileşenlerinin derinliklerinde ek siber faaliyetlerin amaçlanıp amaçlanmadığı veya gerçekleştirilip gerçekleştirilmediği bilinmiyor. Organizasyonların sistemlerini bu olasılıklara göre düşünmesi ve değerlendirmesi gerekiyor.”
Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC), PLC’lerin ele geçirilmesinin etkilenen kuruluşların rutin operasyonlarını aksatmasının “oldukça düşük” olduğunu söylüyor. “Tehdit hafifletilmezse bazı küçük tedarikçiler için çok düşük bir potansiyel risk var” dediler.
Ajanslar, CISA’nın başlangıçtaki risk azaltma tavsiyesini tekrarladı ve kuruluşlara bunu yalnızca Unitronics tarafından üretilenlere değil (aynı zamanda yeniden markalanıp farklı üreticiler tarafından yapılmış gibi görünebileceğine dikkat çekildi) internete bakan tüm PLC’lere uygulamaya çağırdı.
Son olarak cihaz üreticilerine, OT cihazlarının güvenliğini sağlama konusunda üzerlerine düşeni yapmaları için çağrıda bulundular:
- Ürünlerin varsayılan şifrelerle gönderilmemesi
- Yönetimsel arayüzlerin internete maruz kalmasının önlenmesi
- Güvenlik özellikleri için ek ücret talep etmemek
- Cihazların MFA’yı desteklediğinden emin olma
Dikkat edilmesi gereken diğer İran bağlantılı tehdit grupları
Check Point araştırmacıları, CyberAv3ngers’ın İsrail ve ABD varlıklarını hedef alan tek İranlı siber tehdit aktörleri olmadığına dikkat çekti.
Başlangıçta İsrail kuruluşlarını hedef alan ancak daha sonra ABD şirketlerine yönelik saldırılarda bulunduğunu iddia eden CyberToufan var.
Araştırmacılar, “Saldırıların bir parçası olarak grup aynı zamanda Berkshire eSupply ABD şirketine de saldırdıklarını iddia etti ve İsrail şirketlerinin ürünlerini BT altyapılarının bir parçası olarak kullandıklarını öne sürdüler” dedi.
Diğer birçok grup, web sitelerinin tahrif edilmesi ve görünüşte ABD şirketlerinden çalınan verilerin sızdırılmasının yanı sıra, çeşitli ABD havalimanlarındaki CCTV sistemlerinin hacklenmesi ve ABD’deki boru hattı ve elektrik sistemlerini hedef almasıyla da meşgul oldu.
“Ortadoğu’da gerilim devam ederken, bu grupların özellikle ABD hedeflerine yönelik devam eden siber saldırı olasılığı yüksek. Bu eğilim, siber savaşın doğasında, geleneksel jeopolitik sınırları aşan önemli bir evrimi temsil ediyor” diye sonuçlandırıyor araştırmacılar.