ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Pazartesi günü Ocak ayında gerçekleşen bir siber saldırının ülkenin kimyasal tesisleriyle ilgili hassas bilgileri tehlikeye atmış olabileceğini doğruladı. İlk olarak Mart ayında bildirilen saldırı, Ivanti ürünlerindeki bir güvenlik açığından yararlanarak iki sistemin geçici olarak kapatılmasına yol açtı.
Bu hafta yayınlanan bir danışma belgesinde CISA, Kimyasal Güvenlik Değerlendirme Aracı’nın (CSAT) 23 ile 26 Ocak arasında meydana gelen siber saldırı tarafından özel olarak hedef alındığını ayrıntılı olarak açıkladı. CSAT son derece hassas endüstriyel veriler içerir ve tüm bilgiler şifrelenmiş olsa da CISA etkilenenler konusunda uyardı. Yetkisiz erişim potansiyeline sahip katılımcılar.
Kimya Tesislerinin Hedeflenmesinde Potansiyel Verilerin İhlal Edilmesi
CISA’nın araştırması, veri sızıntısına ilişkin doğrudan bir kanıt bulamadı ancak bilgisayar korsanlarının site güvenlik planları, güvenlik açığı değerlendirmeleri (SVA’lar) ve CSAT içindeki kullanıcı hesapları gibi kritik bilgilere erişmiş olabileceğini gösterdi.
Ayrıca kimyasalların türleri ve miktarlarını, özelliklerini ve tesislerdeki depolama yöntemlerini detaylandıran “Üst Ekran araştırmaları” da açığa çıkmış olabilir.
Yüksek riskli kimya tesisleri, kritik varlıklarını, siber ve fiziksel güvenlik politikalarını ve potansiyel güvenlik açıklarının analizini özetleyen SVA’ları sunmakla yükümlüdür. Ele geçirilen diğer belgeler, bu tesislerde uygulanan siber güvenlik önlemleri, alarmlar ve fiziksel engellerle ilgili ayrıntıları içerebilir.
CISA’nın Yanıtı ve Önerileri
CISA, Kimyasal Tesis Terörle Mücadele Standartları (CFATS) programına katılanları potansiyel veri maruziyeti hakkında bilgilendirdi. Hiçbir kimlik bilgilerinin çalındığı doğrulanmasa da CISA, CSAT hesabı olanların aynı iş veya kişisel şifrelerini sıfırlamasını tavsiye ediyor. Ayrıca Ivanti ürünlerini kullanan kuruluşların, son güvenlik açıklarına ilişkin Şubat ayına ait bir danışma belgesini incelemesini de öneriyorlar.
Kurum, CFATS Personel Kefalet Programı kapsamında terör soruşturması için gönderilen kişileri, iletişim bilgilerini toplamadığı için doğrudan bilgilendiremez. Ancak etkilenenlere, özellikle de Aralık 2015 ile Temmuz 2023 arasında incelenenlere kimlik koruma hizmetleri sunulacak.
Araştırma Bulguları
İhlal, 26 Ocak’ta CISA’nın bilgisayar korsanlarının Ivanti cihazına araçlar yüklediğini keşfetmesiyle tespit edildi. Daha ayrıntılı araştırmalar, iki gün boyunca sisteme birden fazla erişimin olduğunu ortaya çıkardı. Soruşturmaya CISA ve İç Güvenlik Departmanı (DHS) içindeki çeşitli departmanlar dahil oldu ve bu, ilk Ivanti cihazının ötesinde hacker erişiminin olmadığını doğruladı.
Veri hırsızlığına ilişkin kanıt bulunmamasına rağmen, çok sayıda kişi ve kuruluşa yönelik potansiyel risk, bu izinsiz girişi Federal Bilgi Güvenliği Modernizasyon Yasası (FISMA) kapsamında “büyük bir olay” olarak sınıflandırdı.
CISA, etkilenen bireylere yardımcı olmak için henüz faaliyete geçmemiş olsa da bir çağrı merkezi kuruyor. Ajans, saldırının failleri hakkında yorum yapmadı, ancak 2020’den bu yana CISA, Ivanti ürünlerindeki güvenlik açıklarından yararlanan Çin ile bağlantılı olanlar da dahil olmak üzere devlet destekli bilgisayar korsanları konusunda kuruluşları uyardı.
Uzmanlar Daha Fazla Şeffaflığın Gerekli Olduğunu Söylüyor
KnowBe4’te veri odaklı savunma savunucusu Roger Grimes, CISA’nın niyetini ve hacklemeyi kamuya açık bir şekilde kabul etmesini övdü ancak biraz daha fazla şeffaflığın zarar vermeyeceğini söyledi.
“CISA’nın büyük bir hayranıyım. Bence harika işler yapıyorlar. Yine de daha iyi ve tam bir şeffaflığa sahip olmak faydalı olabilir” dedi Grimes, Cyber Express’e. “Ivanti cihazları yama yapılmamış ancak bilinen bir güvenlik açığından mı yararlanıldı, yoksa 0 gün boyunca mı kullanıldı? Bir yamanın mevcut olduğu bilinen bir güvenlik açığından yararlanıldıysa, ki bu daha olasıdır, yama neden yüklenmedi? Bunun nedeni, istismarın yamanın uygulanabileceğinden daha hızlı gerçekleşmesi miydi? Patch kaçırıldı mı? Yama kaçırıldıysa neden? Yoksa 0 günlük bir durum mu, yanlış yapılandırma mı, yoksa kimlik bilgilerinin ihlali mi?”
Grimes, “Bunun amacı CISA’yı utandırmak değil, dünyanın en iyi, en agresif yama uygulayıcı, siber savunma kuruluşlarından birinin neden tehlikeye atıldığını öğrenmektir” diye ekledi. “Ne olduğunu ve nedenini paylaşmak, benzer sorun ve zorluklarla karşılaşan diğer kuruluşların ders almasına yardımcı olabilir.
“CISA her zaman diğer sektörlerin ve satıcıların verdikleri tavizler konusunda daha şeffaf olmaları yönünde baskı yapıyor, böylece hepimiz derslerden ve hatalardan ders çıkarabiliriz. CISA’nın da aynısını yapmasını ve hatta altyapı söz konusu olduğunda örnek teşkil etmesini bekliyorum.”