Kritik Altyapı Güvenliği, Yönetişim ve Risk Yönetimi, Operasyonel Teknoloji (OT)
İranlı OT hack takımı sessizleşti… çok sessiz
Prajeet Nair (@prajeaetspeaks) •
20 Haziran 2025
İran ve İsrail arasındaki füze değişimleri ve ABD’nin Tahran’a karşı silahlı müdahalesi ihtimalinin siber savunucular, Amerikan kritik altyapısının İranlı hackerların hedefi olabileceğini söyledi.
Ayrıca bakınız: Ondemand Panel | HCLTech ve Microsoft ile OT güvenliğini güçlendirmek
Nation -State Hacker’ların dünya sıralamasında İran, sosyal mühendislik, şifre püskürtme ve çok faktörlü bombardıman sistemlerine nüfuz etmek için büyük ölçüde güveniyor. Ancak sadece Çin veya Rusya’nın sofistike olmasından yoksun olması, sonuç alamadığı anlamına gelmez.
Kasım 2023’te bir İsrail karşıtı mesajı gösteren saldırıya uğramış bir basınç izleme denetleyicisini bulan Aliquippa, Pennsylvania Belediye Su Otoritesine sorun. Saldırının su hizmeti veya kalitesi üzerinde bir etkisi yoktu, ancak yerel medya iki ilçedeki su baskısının kısaca düştüğünü ve saldırıdan kurtulmanın Su Otoritesinin 20.000 dolara mal olduğunu bildirdi (bkz: İnternete maruz kalan su PLC’leri İran için kolay hedefler).
Saldırının arkasındaki tehdit grubu kendilerini “Cyberav3ngers” olarak adlandırdı. ABD federal yetkilileri, grubun İran’ın İslam Devrim Muhafız Kolordusu’nun siber elektronik komutası olduğunu söylüyor. Sentinel Intelligence operasyon direktörü Daniel Dilks, Tel Aviv tabanlı Unitronics tarafından yapılan programlanabilir mantık denetleyici sistemlerine karşı Fall 2023 kampanyası, ABD’deki 34’ten fazla ABD de dahil olmak üzere en az 75 PLC’yi tahrif etti.
Dilks, “Merdiven mantığını değiştirdiler ve operasyonları bozmak için HMI’leri tahrif ettiler.” Dedi. Bilgisayar korsanları doğrudan internete maruz kalan PLC’lerden yararlandı ve varsayılan “1111” parola ile yapılandırıldı.
Cyberav3ngers’a atfedilen aktivite o zamandan beri azalmış gibi görünüyor. Bridewell Tehdit İstihbarat Analisti Yashraj Solanki, “Nisan 2024’ün sonunda, muhtemelen” zayıf Opsec … “nedeniyle iletişim yöntemlerinde bir bozulma oldu” dedi. Solanki, “Telgraf kanalları bir İsrail grubuna satıldı ve platformla hayal kırıklığı sergilediler.” Dedi. “Grubun son tweet’i 23 Nisan 2024’deydi.”
Araştırmacılar, bunun grubun dağıldığı anlamına gelmediği konusunda uyardı. Forescout araştırma başkanı Daniel Dos Santos, “Nisan 2024’ten bu yana hiçbir faaliyet gözlenmemiş olsa da, kamu eyleminin eksikliğinin hareketsizliği göstermediğini hatırlamak önemlidir.” Dedi.
ABD hükümeti, IRGC-CEC başkanı ve IRGC-Qods Force’da bir komutan da dahil olmak üzere Cyberav3Ngers hakkında bilgi için 10 milyon dolara kadar bilgi sunuyor. Federal hükümet, Şubat 2024’te bilinen Cyberav3ngers hackerlarını onayladı.
Dos Santos, tehdit oyuncunun faaliyetindeki bir duraklama, taktiklerde “daha gizli erişim ve edatlara doğru” bir değişime işaret edebilir. 2024’ün sonlarında Iocontrol olarak adlandırılan Nesnelerin İnterneti Cihazları ve Operasyonel Teknolojisi için özel olarak inşa edilmiş İran kötü amaçlı yazılımlarını belirtti.
Dragos’tan Danielle Gauthier’i kabul eden Iocontrol, İranlı bilgisayar korsanlarının teknik derinliğini gösteriyor. Gauthier, “Petrol ve gaz ve su sektörleri de dahil olmak üzere internete maruz kalan OT sistemlerine odaklanmaları, ne uluslararası kınama tarafından caydırıldıklarını ne de karşı önlemler tarafından bozulmadıklarını gösteriyor.”
Cyberav3ngers’ın hackleme ilerlemesi
Erken Cyberav3Ngers kampanyaları temel araçları kullandı, ancak uzmanlar teknik bir evrim olduğuna dair kanıtlar olduğunu söylüyor. Bridewell’deki siber tehdit istihbarat müdürü Gavin Knapp, grubun 2024’te büyük dil modelleri kullanmaya başladığını söyledi.
Knapp, “Ayrıca, şifre hırsızlığı gibi tespit ve zorunlu faaliyetlerden kaçınmak için kodu gizlemek için yöntemler aradılar.”
Forescout’un Dos Santos, grubun taktiklerinin artık “mevcut merdiven mantık dosyalarını eklemek, cihazları yeniden adlandırma, yazılım sürümlerini sıfırlama ve yükleme ve indirme işlevlerini devre dışı bırakma” içerdiğini söyledi. Bu davranışlar kasıtlı sabotaj ve uzun vadeli kalıcılık önermektedir.
Kalıcı tehdide yanıt olarak, siber güvenlik uzmanları kritik altyapı operatörleri için net önerilerde bulundu.
Opswat baş strateji sorumlusu Mike Arcamone, “Kapsamlı hazırlık planları, halka açık hizmetleri tanımlama ve sertleştirme çabalarını içermelidir.” Dedi. “Ek yüksek öncelikli eylemler, özellikle tüm OT cihazlarının varsayılan şifrelerin ayarlanmamasını sağlamak için kimlik ve kimlik bilgisi güvenliğini içerir.”
Dragos operatörlere “internete dönük varlıkları sertleştir, SSH tuşlarını döndürür, varsayılan kimlik bilgilerini ortadan kaldırır ve sadece teknik aksamalar değil, etki işlemlerine hazırlanır.”
Sentinel Intelligence’dan gelen dils, segmentasyon, yama ve tehdit istihbarat entegrasyonunu tavsiye etti. “Segment OT Networks, IDS/IPS’yi Unitronics taraması için imzalarla uygulayın ve PLC telemetrisinde anomali tespiti kullanın.”
Knapp, dış saldırı yüzeyinin sertleşmesini ve erişimi kısıtlamak için MFA ile VPN’lerin kullanıldığını vurguladı. “Gereksiz bağlantı noktalarını devre dışı bırakarak saldırı yüzeyini azaltın ve PLC cihazlarını en son yamalarla güncel tutun.”
Cyberav3ngers, Çin veya Rus aktörlerin sofistike olmasına sahip olmayabilir, ancak yine de kalıcı bir tehdittir.