ICS’ye Özel Saldırıların Kısa Tarihi



Kötü amaçlı yazılım yazarlarının endüstriyel kontrol sistemine (ICS) özel kötü amaçlı yazılım yazması nispeten zordur. Geleneksel BT kötü amaçlı yazılımlarıyla karşılaştırıldığında, ICS’yi tehlikeye atmak istiyorsanız çeşitli nedenlerden dolayı daha fazla çaba harcamanız gerekir.

Öncelikle hedef ortamı anlamanız gerekir. ICS tesisleri BT’den çok daha heterojen olduğundan, saldırganların genellikle saldırılarını belirli bir hedefe uyarlaması ve bu belirli siteden istihbarat toplaması gerekir.

İkinci olarak saldırganın hedeflediği süreci anlaması gerekir. Kötü amaçlı yazılım yazarları genellikle metalurji, enerji üretimi veya suyun tuzdan arındırılması konularında alan uzmanı değildirler ve eğer buna müdahale etmek istiyorlarsa, altta yatan fiziksel süreci anlamak için konunun uzmanlarıyla iletişim kurmaları gerekir.

Üçüncüsü, ICS ortamlarında operatörlerin maliyetli hatalar yapmasını engelleyen çok sayıda güvenlik sistemi mevcuttur. Bu sistemler aynı zamanda tehlikeli fiziksel anormallikler üzerinde kontrole sahip oldukları için siber saldırıları kontrol altına alma açısından da uygundur.

Yedi ICS Merkezli Kötü Amaçlı Yazılım Ailesi

Buna rağmen, özellikle ICS ortamlarını hedef alan yedi kötü amaçlı yazılım ailesi gördük. ICS’ye özgü kötü amaçlı yazılımlara ilişkin kısa bir tarihsel genel bakış:

  1. Stuxnet’in (2010): Stuxnet, İran’ın nükleer tesislerindeki santrifüjleri hedef alırken, dönme hızlarını değiştirerek fiziksel hasar vermek amacıyla doğada bulunan ilk ICS kötü amaçlı yazılımıydı. O zamanlar yeni kabul edilmişti ve WMI tüketicilerini kullanan süreç boşluğu ve kalıcılık gibi ICS ortamlarından bağımsız olarak bugün hala rakipler tarafından kullanılan bazı kötü niyetli teknikleri tanıttı.
  2. Havex (2013): Havex (diğer adıyla Dragonfly), 2013 yılında geniş kapsamlı bir endüstriyel casusluk kampanyasının parçası olarak tespit edildi. Havex’in arkasındaki tehdit aktörleri, kimlik avı e-postaları, çeşitli ICS ekipman satıcılarının web sitelerini ele geçirmek ve yasal satıcı yazılım güncellemelerini kötü amaçlı sürümlerle değiştirmek gibi farklı tekniklerle hedeflerine bulaştı. Kurbanlar Truva atı ile işlenmiş güncellemeleri indirdiklerinde, onlara Havex kötü amaçlı yazılımı bulaştı ve bu da tehdit aktörlerinin virüslü ağlara uzaktan erişmesine ve virüslü makinelerden veri toplamasına olanak sağladı.

  3. BlackEnergy2/3 (2014–2015): Bir yıl sonra BlackEnergy2 kötü amaçlı yazılımı ortaya çıktı. 2014 yılında ABD İç Güvenlik Bakanlığı, nükleer enerji santralleri, elektrik şebekeleri, su arıtma sistemleri ve petrol ve gaz boru hatları da dahil olmak üzere birçok hayati önem taşıyan ulusal altyapıyı kontrol eden yazılımın tehlikeye atıldığını açıkladı. ICS’ye özgü olmayan bir varyant olan BlackEnergy3, daha sonra Ukrayna enerji şirketlerinin ağlarına karşı 2015 yılındaki bir kampanyanın parçası olarak kullanıldı. Her iki yöntemde de hedef içinde tutunacak yer edindikten sonra saldırganların ağı geçip manuel olarak hasar vermeleri gerekiyordu.

  4. Industroyer Crashoverride (2016): Esas olarak ICS içinde yer kazanmak ve endüstriyel süreçleri keşfetmek için kullanılan BlackEnergy2’den farklı olarak Crashoverride kötü amaçlı yazılımının amacı, saldırganların “ellerinin klavyede olmasına” gerek kalmadan elektrik şebekesi operasyonlarına otomatik olarak fiziksel hasar vermektir. saldırı. Bunu başarmak için, ICS’ye özgü protokolleri kullanarak hedef ekipmanla iletişim kuracak ve şebeke ekipmanıyla etkileşime girecek şekilde kodlandı.

  5. Trisis/Triton (2017): Daha önce de belirtildiği gibi, ICS tesisleri, altta yatan kinetik süreç tehlikeli davranış gösterdiğinde arızaya karşı koruma önlemleri olarak otomatik olarak devreye giren güvenlik enstrümanlı sistemler (SIS) ile donatılmıştır. Örneğin emniyet valfleri, insanların yaralanmasını ve ekipmanların zarar görmesini önlemek amacıyla normal seviyeleri aşan basıncı tahliye etmek için otomatik olarak açılacaktır. Triton, özellikle güvenlik ekipmanlarını hedef alan ilk ICS kötü amaçlı yazılımıydı. Bu anlamda saldırganların azim ve cesareti açısından bir adım öne geçti.

  6. Sanayici2 (2022): Orijinal 2016 Industroyer, Ukrayna’daki elektrik şebekesi operasyonlarını durdurmak için başarıyla kullanıldıktan sonra, onun halefi olan Industroyer2, 2022’de yine Ukrayna’da keşfedildi. Dragos’a göre Industroyer2, selefinin sadeleştirilmiş bir versiyonudur ve aşağıdaki amaçlarla tasarlanmıştır: şeyler) ızgara devre kesicilerini açıktan kapalıya veya tam tersi şekilde çevirin.

  7. Boş Rüya (2022): Pipedream, çeşitli satıcıların uzun bir ICS cihazı listesiyle yerel olarak etkileşim kurabilen, bugüne kadar keşfedilen en son ve en gelişmiş ICS’ye özgü kötü amaçlı yazılımdır. CISA tavsiyesine göre, kötü amaçlı yazılım “belirli ICS/SCADA cihazlarını tarayabilir, bunların güvenliğini aşabilir ve kontrol edebilir.” Dragos’a göre bu yetenekler, “endüstriyel kontrol sistemleri ve süreçlerinin kullanılabilirliği, kontrolü ve güvenliğine yönelik açık ve mevcut bir tehdit” teşkil ediyor ve “operasyonları ve yaşamları tehlikeye atmak için kullanılabilir.”

Siber güvenlik alanında tehditleri genellikle fırsat, yetenek ve amaç üçlüsüne göre analiz ederiz. Tehdit aktörlerinin başarılı saldırılar gerçekleştirebilmeleri için üçüne de sahip olmaları gerekir. ICS’ye özgü kötü amaçlı yazılımların bu kısa geçmişine bakıldığında, tehdit gruplarının fiziksel hasar vermeye ve güvenlik sistemlerine saldırmaya çalışarak daha cesur hale geldiği ve dolayısıyla genel zarar verme niyetinin arttığına işaret ettiği görülüyor. Kötü amaçlı yazılımın teknik analizi, artan yeteneklere işaret eden, artan bir karmaşıklık eğilimini ortaya koyuyor. Geçmişten ders alıp ağlarımızı saldırganlara karşı düşman hale getirmek ve böylece onların aradıkları fırsatları engellemek biz siber savunucuların sorumluluğundadır.

En son siber güvenlik tehditlerini, yeni keşfedilen güvenlik açıklarını, veri ihlali bilgilerini ve ortaya çıkan trendleri takip edin. Günlük veya haftalık olarak doğrudan e-posta gelen kutunuza teslim edilir.

Abone



Source link