
Küresel ticaretin yaklaşık% 90’ını kolaylaştıran denizcilik endüstrisi, gelişmiş kalıcı tehdit (APT) grupları için sofistike fidye yazılımı kampanyaları kullanan kritik bir savaş alanı olarak ortaya çıkmıştır.
Siber savaştaki bu artış, devlet destekli bilgisayar korsanlarının ve finansal olarak motive olmuş tehdit aktörlerinin deniz altyapısı üzerinde birleştikleri ve bozulma ve finansal kazancı en üst düzeye çıkarmak için hem operasyonel güvenlik açıklarını hem de jeopolitik gerilimleri kullandıkları bir paradigma değişimini temsil ediyor.
Son istihbarat, yüzden fazla belgelenmiş siber saldırının, geçen yıl içinde denizcilik ve nakliye organizasyonlarını hedeflediğini ve bu kritik sektöre karşı siber tehditlerde eşi görülmemiş bir yükseliş olduğunu gösteriyor.
Fidye yazılımı operasyonlarıyla APT gruplarının yakınsaması, geleneksel casusluk kampanyalarının artık operasyonları sakatlamak ve kurban kuruluşlarından fidye ödemelerini elde etmek için tasarlanmış yıkıcı yükleri içerdiği mükemmel bir tehdit fırtınası yarattı.
Jeopolitik manzara, bu saldırı modellerini önemli ölçüde etkiledi, Filistin yanlısı hacktivistler, İsrail bağlantılı gemileri hedeflemek için otomatik tanımlama sisteminden (AIS) verileri kullanırken, Rus grupları Ukrayna’yı destekleyen Avrupa limanlarını sistematik olarak hedefliyor.
Çin devlet aktörleri, küresel filoların sertifikalandırılmasından sorumlu sınıflandırma toplumlarına nüfuz ettiler ve bu çok vektör kampanyalarının sofistike doğasını gösterdi.
Cyble analistleri, Norveç, Yunanistan ve Hollanda’daki kargo nakliye şirketlerini başarıyla tehlikeye atan Çin tehdit grubu Mustang Panda’ya atfedilen önemli kampanyalarla bu koordineli saldırıları düzenleyen birden fazla APT grubunu belirledi.
Saldırı metodolojileri, geleneksel ağ güvenlik önlemlerini atlayan USB tabanlı başlangıç enfeksiyon vektörlerini kullanarak, doğrudan kargo gemisi operasyonel sistemlerine gömülü kötü amaçlı yazılımların keşfi nedeniyle öne çıkıyor.
Gelişmiş enfeksiyon mekanizmaları ve yük teslimatı
Bu deniz odaklı fidye yazılımı kampanyalarının teknik karmaşıklığı, endüstriyel kontrol sistemleri ve denizcilik operasyonel teknolojisinin derin bir şekilde anlaşılmasını ortaya koymaktadır.
Çin devlet destekli bir grup olan APT41, özellikle deniz ortamlarında adli kaçırma için tasarlanmış DustRap çerçevesini konuşlandırdı.
Bu çerçeve, gemi navigasyon sistemleri ve liman yönetimi altyapısında devam edebilen ShadowPad ve Velvetshell gibi gelişmiş kötü amaçlı yazılımların dağıtılmasını sağlar.
# Example of AIS data manipulation technique used by threat actors
def manipulate_ais_data(vessel_id, false_coordinates):
ais_packet = {
'mmsi': vessel_id,
'latitude': false_coordinates[0],
'longitude': false_coordinates[1],
'timestamp': generate_false_timestamp()
}
return encrypt_and_transmit(ais_packet)
Enfeksiyon zincirleri tipik olarak, tehdit aktörlerinin Cobham Sailor 900 VSAT yüksek güç sistemlerinde (CVE-2022-22707, CVE-2019-11072, CVE-2018-19052) güvenlik açıklarından yararlandığı tehlikeye atılmış VSAT iletişim sistemleri ile başlar.
İlk erişim belirlendikten sonra, saldırganlar kritik navigasyon verilerini, kargo tezahürlerini ve bağlantı noktası yönetim sistemlerini aynı anda şifreleyebilen özel fidye yazılımı yükleri dağıtır.
Turla/Tomiris Grubu, bu yaklaşımı özellikle rafine etti ve nihayetinde tüm filo yönetimi ağlarında fidye yazılımı dağıtan ve hassas operasyonel zekayı çıkarırken deniz operasyonlarını etkin bir şekilde tutan endüstriyel casusluk araçları içeren enfekte USB sürücüleri kullandı.
Entegre etmek Herhangi biri. Gelişmiş tehditleri analiz etmek için siem veya soar ile -> 50 ücretsiz deneme aramasını deneyin