Endüstriyel kontrol sistemleri (ICS) güvenlik ekipleri, hava boşluklu sistemlerin savunma mekanizmalarını ihlal eden ve tehlikeye atan bir solucana karşı aktif olarak mücadele ediyor.
Çin bağlantılı bir ulus-devlet aktörünün, geçen yıl Doğu Avrupa sanayi firmalarına veri hırsızlığı için hava boşluklu sistemleri hedef alan bir dizi saldırıda bulunduğundan şüpheleniliyordu.
Kaspersky ICS-CERT’deki siber güvenlik araştırmacıları kısa bir süre önce hava boşluklu veri güvenliğinden kaçan, ICS’yi ve Doğu Avrupa’daki kritik altyapıyı hedef alan yeni bir ikinci aşama kötü amaçlı yazılım keşfetti.
Hava Boşluklu Veri Güvenliğinden Kaçan Yeni Kötü Amaçlı Yazılım
Bu, tehdit aktörlerinin aşağıdaki yasa dışı faaliyetleri gerçekleştirmesini sağlayan gelişmiş bir araç olarak çalışır:
- Veri çıkarma
- Üçüncü aşama araçların geliştirilmesi
- Toplanan verilerin iletilmesi
Güvenlik analistleri ayrıca sistemlerden veri çıkaran iki implant keşfetti. Araştırmacıların tespit ettiği implantlar: –
- Sofistike modüler bir kötü amaçlı yazılım: Bu implant, çıkarılabilir diskleri şekillendirir, onlara solucan bulaştırır ve ardından hava boşluklu Doğu Avrupa endüstriyel ağlarından veri sızdırır.
- Veri Hırsızı: Veri çalan bir implant olduğundan, bu veri çalan implant, sonraki aşama implantlar aracılığıyla yerel bilgisayar verilerini Dropbox’a gönderir.
Tehdit aktörleri tarafından hedef alınan sistemler esas olarak virüs bulaşır veya güvenliği ihlal edilirken, saldırının ikinci aşaması için bu implantları kullanırlar.
Modüllerin Gerçekleştirdiği Görevler
Ayrıca, hava boşluklu veri sızdırma kötü amaçlı yazılımı, çıkarılabilir sürücülere üç farklı modül bulaştırır ve bunların tümü, çeşitli görevleri gerçekleştirmek için kullanılır.
Aşağıda, kötü amaçlı modüller tarafından gerçekleştirilen tüm görevlerden bahsetmiştik: –
- Çıkarılabilir sürücülerin profilini oluşturma
- Çıkarılabilir sürücüleri kullanma
- Ekran görüntüleri yakalama
- Yeni bağlanan sürücülere ikinci adım kötü amaçlı yazılım yerleştirme
Sadece bu da değil, Kaspersky araştırmacıları bile tehdit aktörlerinin ayrı ikili veri dosyalarında gizlenmiş şifrelenmiş yükler yoluyla ve DLL ele geçirme ve bellek enjeksiyonları kullanarak tespitten kaçtığını keşfetti.
öneriler
Aşağıda, güvenlik uzmanlarının sunduğu tüm önerilerden bahsetmiştik:-
- Siber güvenlik sorunlarını bulmak ve çözmek için her zaman OT sistemleri için düzenli güvenlik değerlendirmeleri yapın.
- Etkin güvenlik açığı yönetimi için sürekli güvenlik açığı değerlendirmesi ve triyaj sistemi.
- Benzersiz eyleme geçirilebilir bilgiler için sağlam güvenlik çözümleri kullandığınızdan emin olun.
- Büyük olayları önlemek için OT ağ bileşenleri için zamanında güncellemeler ve güvenlik düzeltmeleri sağlayın.
- Tehdit algılama ve düzeltme için sağlam EDR çözümleri uygulayın.
- OT güvenlik eğitimi yoluyla olay önleme, tespit ve müdahale becerilerini sürdürdüğünüzden emin olun.
Bizi GoogleNews, Linkedin üzerinden takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, twitterve Facebook.