FBI, CISA, NSA ve Kanada, Birleşik Krallık ve İsrail’den ortak kurumlar ortak bir siber güvenlik danışma belgesinde, İran’ın İslam Devrim Muhafızları Birliği’ne bağlı gelişmiş kalıcı tehdit (APT) aktörleri tarafından devam eden kötü niyetli siber faaliyetler hakkında acil bir uyarı yayınladılar. (IRGC).
Bu danışma belgesi, “CyberAv3ngers” olarak bilinen IRGC bağlantılı siber aktörler tarafından kullanılan taktikler, teknikler ve prosedürler (TTP’ler) hakkında kritik yeni ayrıntılar sağlıyor ve kuruluşların kritik altyapılarını korumaları için güncellenmiş hafifletme önerileri sunuyor.
Tehdidin Ayrıntıları
ABD ve Kanada tarafından yabancı terör örgütü olarak tanımlanan Devrim Muhafızları’nın, dünya çapında kritik altyapıları hedef alan bir dizi siber saldırıyla bağlantısı olduğu belirtildi.
Son araştırmalar, IRGC’ye bağlı bir grup olan CyberAv3ngers’ın, su sistemleri, enerji tesisleri ve diğer önemli sektörlerde kullanılan endüstriyel kontrol sistemlerini (ICS) ve programlanabilir mantık denetleyicilerini (PLC’ler) aktif olarak tehlikeye attığını ortaya çıkardı.
Önemli hedefleri arasında İsrail yapımı Unitronics Vision Serisi PLC’ler ve insan-makine arayüzleri (HMI’lar) yer alıyor.
Operasyonel teknoloji (OT) sistemleri için hayati önem taşıyan bu cihazların güvenliği, 2023’ün sonlarında internete bağlı cihazlardaki varsayılan veya eksik şifrelerin kullanılmasıyla ele geçirildi.
Kurbanlar arasında Amerika Birleşik Devletleri, Birleşik Krallık, İsrail ve diğer ülkelerdeki kritik altyapı kuruluşları da vardı.
CyberAv3ngers tarafından kullanılan dikkate değer taktikler arasında özel kötü amaçlı merdiven mantık dosyalarının dağıtılması, kurtarma çabalarını geciktirmek için cihazların yeniden adlandırılması, yazılım sürümlerinin sıfırlanması ve varsayılan ağ ayarlarının değiştirilmesi yer alıyor.
En endişe verici olanı, eylemlerinin potansiyel olarak süreçlerde ve ekipmanlarda ciddi siber-fiziksel kesintileri tetikleyebilmesidir.
Önemli Yeni Bulgular
18 Aralık 2024 tarihli danışma belgesi güncellemesinde aşağıdaki hususlar vurgulanmaktadır:
- Ek TTP’ler: Yeni gözlemlenen yöntemler arasında orijinal merdiven mantık dosyalarının değiştirilmesi, operatör erişimini engellemek için cihaz ayarlarının değiştirilmesi ve tespitten kaçınmak için bilinmeyen bağlantı noktası numaralarının yapılandırılması yer alır.
- Daha Geniş Hedefleme: ABD’nin kritik sistemlerine ek olarak saldırılar İngiltere’deki cihazlara da yayıldı ve İsrail bağlantılı teknolojilere karşı daha geniş bir kampanyanın sinyalini verdi.
- OT Sistemleri için Arttırılmış Risk: Uzmanlar, sağlık, enerji ve ulaşım gibi sektörlerdeki risk altındaki PLC’lerin ardı ardına gelen siber-fiziksel etkilere karşı oldukça savunmasız olduğu konusunda uyarıyor.
Azaltma Stratejileri
Tavsiye niteliğindeki belgede, kuruluşlara, özellikle de kritik altyapı sektörlerinde bulunanlara, aşağıdaki önlemleri derhal benimsemeleri yönünde çağrıda bulunulmaktadır.
| Kategori | Aksiyon |
|---|---|
| Firmware’i Güncelleyin ve Güçlü Güvenlik Protokolleri Uygulayın | – Unitronics Vision Serisi PLC yazılımını ve donanım yazılımını en son sürümlere yükseltin. |
| – Tüm varsayılan şifreleri güçlü, benzersiz kimlik bilgileriyle değiştirin. | |
| – Güvenlikle ilgili yeni erişim kontrollerini yapılandırın. | |
| İnternete Maruz Kalmayı Kaldır | – PLC’lerin ve HMI’ların halka açık internet bağlantılarıyla bağlantısını kesin. |
| – Cihazları güvenlik duvarlarının arkasına yerleştirin. | |
| – Erişimi güvenli bir şekilde kontrol etmek için VPN’ler veya ağ geçitleri uygulayın. | |
| Tespit ve Savunmayı Geliştirin | – İzinsiz girişlerin yayılmasını sınırlamak için Purdue Modeli gibi ağ bölümleme tekniklerini kullanın. |
| – İzinsiz giriş tespit sistemlerini (IDS) dağıtın. | |
| – Olağandışı oturum açma girişimleri veya hileli protokoller için trafiği izleyin. | |
| Acil Korumaları Uygulayın | – Kullanılmayan kimlik doğrulama yöntemlerini devre dışı bırakın. |
| – Mümkün olan her yerde çok faktörlü kimlik doğrulamayı zorunlu kılın. | |
| – Cihaz yazılımını düzenli olarak güncelleyin. | |
| – Bağımsız güvenlik denetimleri gerçekleştirin. | |
| Olay Müdahale Hazırlığını Güçlendirin | – Cihaz konfigürasyonlarının düzenli yedeklerini alın. |
| – Kurtarma kesintilerini minimum düzeyde tutmak için beklemede veya yedek donanımı koruyun. |
Tavsiye belgesi, cihaz üreticilerinin ürünleri güvenli bir şekilde tasarlama sorumluluğunu vurgulamaktadır.
Öneriler arasında varsayılan parolaların kullanımının sona erdirilmesi, varsayılan olarak güvenli yapılandırmaların etkinleştirilmesi ve ek ücret olmaksızın güçlü güvenlik özelliklerinin sağlanması yer alıyor.
Bu önlemler, CyberAv3ngers gibi aktörlerin istismar ettiği güvenlik açıklarını önemli ölçüde azaltacaktır.
Şüpheli siber faaliyetlerle karşılaşan kuruluşların, olayları derhal bildirmeleri teşvik edilmektedir:
- ABD kuruluşları yerel FBI saha ofisleri, CISA’nın 7/24 Operasyon Merkezi veya Çok Eyaletli Bilgi Paylaşımı ve Analiz Merkezi (MS-ISAC) ile iletişime geçebilir.
- Kanadalı kuruluşlar Kanada Siber Güvenlik Merkezi’ne (CCCS) ulaşabilir.
- Birleşik Krallık kurumları Ulusal Siber Güvenlik Merkezi (NCSC) ile etkileşime geçmelidir.
- İsrail ekiplerine İsrail Ulusal Siber Müdürlüğü (INCD) ile irtibat kurmaları talimatı verildi.
Bu tavsiye belgesi, dünya çapındaki kritik sistemleri hedef alan İran devleti destekli siber faaliyetlerin giderek artan tehdidinin altını çiziyor. Teknoloji giderek birbirine bağlı hale geldikçe, yaygın kesinti potansiyeli, sağlam siber güvenlik önlemleri almanın önemini vurguluyor.
Daha fazla ayrıntı için kuruluşlar, CISA ve ortak kuruluşlar tarafından sağlanan, haritalanan gözlemlenebilirler de dahil olmak üzere teknik kaynaklara başvurabilir. MITRE ATT&CK® çerçevesi.
Hükümetler ve siber güvenlik uzmanları, riskleri azaltmak ve altyapıyı bu gelişen tehditlere karşı korumak için proaktif eylem çağrısında bulunuyor.
KOBİ’ler ve MSP’ler için 2024 MITRE ATT&CK Değerlendirme Sonuçları -> Ücretsiz Kılavuzu İndirin