Endüstriyel kuruluşlara yönelik fidye yazılımı saldırıları, geçtiğimiz yıl% 87 artarken, yeni kötü amaçlı yazılım aileleri OT ortamları için özel olarak tasarlandı. Bu bulgular rahatsız edici bir eğilimi vurgulamaktadır: OT sistemleri giderek daha fazla ana akım hedefler haline geliyor ve hatta sofistike tehdit aktörleri, endüstriyel operasyonlara sızmak ve bozmak için nispeten sofistike olmayan taktikleri kullanıyor.
Devlet destekli gruplar kendilerini kritik altyapıya yerleştirirken, hacktivistler ve siber suçlular bilinen güvenlik açıklarından, zayıf uzaktan erişim konfigürasyonları ve maruz kalan OT varlıklarından yararlanırlar. OT ortamlarında kalıcı bir görünürlük eksikliği, bu saldırıların tam ölçeğini gizlemeye devam etmektedir. Bu içgörüler, endüstriyel kuruluşların siber tehditlerini analiz eden sekizinci yıllık inceleme yılı olan Dragos’un 2025 OT/ICS Siber Güvenlik Raporu’ndan geliyor.
“Kuruluşların daha güçlü ağ segmentasyonu uyguladığını, OT ortamlarında görünürlüğü artırdığını ve daha sağlam olay yanıt yetenekleri geliştirdiğini gördük. Bu proaktif önlemler, rakiplerin tespit edilmemesini zorlaştırıyor ve endüstriyel siber güvenliğin uzun vadeli esnekliğinin anahtarıdır ”diyor Dragos CEO’su Robert M. Lee.
Grafit ve boksit OT Siber Tehdit Grupları
BOKSİT sanayi varlıklarını ve belirli cihazları hedefleyen birçok küresel kampanyada yer almaktadır. Bu grup, ABD Hükümeti tarafından bildirildiği gibi, İran Devrim Muhafızları Kolordusu-Cyber ve Elektronik Komutanlığı (IRGC-CEC) ile açık ilişkileri olan hacktivist persona Cyberav3Ngers ile yeteneklere ve ağ altyapısına dayalı önemli teknik örtüşmeler paylaşıyor.
2023’ün sonlarından bu yana Dragos, aşama 2 ICS siber öldürenler de dahil olmak üzere dört boksit kampanyası gözlemledi. Teyit edilen boksit kurbanları, enerji (petrol ve doğal gaz ve elektrik), su ve atık su, gıda ve içecek ve kimyasal üretim dahil olmak üzere birçok kritik altyapı sektöründe Amerika Birleşik Devletleri, Avrupa, Avustralya ve Orta Doğu’da.
GRAFİT Doğu Avrupa ve Orta Doğu’daki enerji, petrol ve gaz, lojistik ve devlet sektörlerindeki varlıkları hedefler. Grubun APT28 ve diğer isimlerle güçlü teknik örtüşmeleri vardır. Grafit, Ukrayna’daki askeri durumla alakalı kuruluşlara odaklanmaktadır. Rusya’nın Şubat 2022’de Ukrayna’yı işgalinden bu yana gözlemlenebilir Bu odak noktası, özel bir alt birim veya görev hedeflerinin genişlemesini gösterebilir.
Grafit, hedeflenen coğrafyasında kritik endüstrilerdeki organizasyonları hedeflemek için bilinen güvenlik açıkları ve özel senaryo tabanlı kötü amaçlı yazılımları kullanarak hidroelektrik üretim ve doğal gaz boru hattı operatörlerini ve tesislerini hedefleyen mızrak aktı kampanyaları ve yakınlara yakın kimlik avı operasyonları tanımlanmıştır.
ICS odaklı kötü amaçlı yazılım tehditleri: Fuxnet ve Frostygoop
Özellikle Endüstriyel Kontrol Sistemlerini (ICS) hedefleyen yeni kötü amaçlı yazılım suşlarının geliştirilmesi, endüstriyel operasyonların bozulmasına artan olumsuz odaklanmanın altını çizmektedir.
Fuxnet: Ukrayna yanlısı bir hacktivist grup Blackjack’e atfedilen bu kötü amaçlı yazılım, Moskova’nın iletişim sistemini bir gaz, su ve kanalizasyon ağı için koruyan bir belediye kuruluşu olan MoskolleKtor için endüstriyel sensör ağlarını hedeflemek için tasarlanmıştır. Fuxnet kötü amaçlı yazılımını kullanarak Blackjack, binlerce sensörü devre dışı bıraktığını ve sensör ağ geçidi cihazlarını yok ettiğini ve bunların bilgi iletememesini sağladığını iddia etti.
Frostygoop: İlk olarak 2024’ün başlarında tanımlanan FrostyGoop, ICS ortamlarında Modbus TCP/502 iletişimini manipüle etmek için tasarlanmış daha yıkıcı bir kötü amaçlı yazılımdır. Ukrayna’daki bölge ısıtma sistemleri için enerji arzına yönelik belgelenmiş saldırısında görüldüğü gibi, antivirüs yazılımından kaçmasını ve altyapıya fiziksel hasara neden olmasını sağlayarak normal endüstriyel proses komutlarını değiştirebilir veya taklit edebilir. Kötü amaçlı yazılım, Ocak 2024’te Ukrayna’da 600’den fazla apartman için ısıtma kesintilerine neden oldu. Dragos’un FrostyGoop soruşturması, dünya çapında Modbus üzerinden iletişim kuran 46.000’den fazla internete maruz kalan ICS cihazının olduğunu ortaya koydu.
Güncellenmiş Tehdit Grubu Etkinliği
Voltzit kritik altyapı izlemek için tartışmasız en önemli tehdit grubudur. OT verilerine özel odaklanması nedeniyle grup, ICS varlık sahipleri ve operatörleri için yetenekli bir tehdittir. Bu grup, diğer kuruluşlar tarafından izlenen Volt Typhoon Tehdit Grubu ile kapsamlı teknik örtüşüyor. Mağdur ICS kuruluşlarından GIS verileri, OT ağ diyagramları, OT çalışma talimatları vb. Voltzite, OT ağlarını izlemenin ve kötü niyetli etkinlik için avlanmanın temel bir nedenidir. “Tek” ağ iletişiminin dikkatli bir şekilde izlenmesi ve araştırılmasıyla voltzit tanımlanabilir ve savunulabilir.
Bedte Yeni, özel Windows tabanlı kötü amaçlı yazılım suşları sunarak sadece Ukrayna’yı hedeflemekten ve odağını Avrupa petrol ve doğal gaz (ONG) varlıklarına genişletti. Bu, Rus devlet şirketine ait Gazprom’un Doğu ve Orta Avrupa’ya gaz sağlamasına izin veren bir anlaşmanın sona ermesiyle çakıştı.
Elektrum OT ortamlarındaki cihazlar da dahil olmak üzere gömülü cihazlarda ayrılmamış blok görüntüleri (UBI) dizinlerini arayabilen ve silebilen Linux işletim sistemleri için derlenmiş bir ikili olan yeni bir özellik olan Silecek kampanyalarına devam ediyor. Acidpour, asit -tahılın bir çeşididir, ancak gömülü sistemlerde sıklıkla bulunan bellek teknolojisi cihazlarına (MTD’ler) genişletilmiş kapasiteye sahiptir. Dragos Electrum, Hacktivist persona Solnetspek’in kaynaklarını ve itibarını, Aralık 2023’te Ukrayna’nın birincil telekomünikasyon sağlayıcısı Kyivstar’a yapılan siber saldırıda operasyonel faaliyetlerini gizlemek için kullandı.
Diğer temel bulgular
- Jeopolitik Çatışmalar, OT merkezli siber operasyonları yakıt: Devlet destekli girişimlerle uyumlu rakipler, Ukrayna, Rusya ve Orta Doğu’da kritik altyapıyı hedefleyen siber operasyonlar başlatmaya devam etti, genellikle askeri çatışmaların doğrudan bir uzantısı olarak.
- Hacktivist grupları kritik altyapıya yönelik saldırıları artırıyor: Hacktivistler, OT ortamlarını hedeflemek için yeni saldırı vektörlerinden yararlandı, enerji ve su kamu hizmetlerini bozarken, eylemlerini jeopolitik motivasyonlarla hizaladılar. 2023’te ve 2024’ün başlarında Dragos, Hacktivist grupların veya kendi kendini ilan eden hacktivist grupların bir eğilimini gözlemledi ve ICS siber öldürme zincirinin 2. aşamasını endüstriyel organizasyonlara ve dünya çapında kritik altyapı ve hizmetlere karşı aktif olarak hedef aldı.
- Devlet destekli tehdit aktörleri ve hacktivism yakınlaşıyor: Hacktivist gruplar ve devlet destekli siber aktörler arasındaki işbirliğinin arttırılması, hacktivistlerin doğrudan veya paylaşılan altyapı ve zeka yoluyla devlet hedeflerini yükselttiği hibrit bir tehdit modeline yol açmıştır. Eyalet aktörleri, inkar edilebilir siber operasyonlar yürütmek için hacktivist grupları giderek daha fazla sömürmeye çalışıyor ve bu da azaltılmış atıf riskleri olan daha agresif saldırılara izin veriyor.
- Hacktivists fidye yazılımlarını kullanmaya başlar: Hacktivist ve kendi kendini ilan eden hacktivist gruplar, çeşitli endüstriyel hedeflere karşı operasyonlarının evriminin bir parçası olarak fidye yazılımı kullanıyor. Üç önemli hacktivist grup, 2024 yılında operasyonlarında aktif olarak fidye yazılımı kullanıyordu: Handala, Kill Security ve Cybervolk.
- Fidye Yazılımı Etkinliği Artışları: Endüstriyel kuruluşları hedefleyen fidye yazılımı gruplarının sayısı, 2023’te gözlemlenen 50 gruptan% 60 artışla 80’e yükseldi. Toplu olarak, bu gruplar 2024’ün ilk yarısında haftada ortalama 34 sanayi organizasyonuna saldırdı. Bu sayı yılın ikinci yarısında iki katından fazla arttı. Üretim, gözlemlenen fidye yazılımı kurbanlarının% 50’sinden fazlasını oluşturan en çok etkilenen sektör olmaya devam etmektedir. Dragos’un gözlemlediği fidye yazılımı vakalarının% 25’i bir OT sitesinin tam olarak kapatılmasını içeriyordu ve% 75’i operasyonlarda bir dereceye kadar aksamayı içeriyordu.
- Güvenlik açıkları, endüstriyel süreçler üzerinde etki riski taşır: 2024’te Dragos, araştırılan güvenlik açıklarının% 70’inin ICS ağı içinde derin olduğunu,% 39’unun hem görüş kaybına hem de kontrol kaybına neden olabileceğini ve tavsiyelerin% 22’sinin 2023’te% 16’dan ağla açığa çıkabilir ve çevreye baktığını buldu.
Endüstriyel siber güvenlik esnekliğini arttırmak
Düşmanlar gelişti ve endüstriyel ortamlara sızmak için giderek daha sofistike saldırı yöntemlerinden yararlandı. Bu yılki rapordan elde edilen veriler açıktır: Proaktif güvenlik önlemleri alan kuruluşlar daha kısa iyileşme süreleri, azaltılmış finansal kayıplar ve en az operasyonel kesintiler yaşarlar. Tehdit avı artık bir seçenek değildir – bu bir zorunluluktur.
Endüstriyel kuruluşlar reaktif güvenlik önlemlerinin ötesine geçmeli ve tehdit avını temel bir savunma stratejisi olarak kucaklamalıdır. Saldırganlar, bilinen güvenlik açıklarından, uzaktan erişim zayıflıklarından ve tedarik zinciri boşluklarını hızlandırma oranında kullanıyor. Çevrelerinde proaktif olarak tehdit ve çekişsel faaliyet arayan kuruluşlar, saldırıları artırmaktan önce önlemede önemli bir avantaj elde ederler.
ICS savunucuları acımasız olmalıdır. Voltzite gibi saldırganlar zaten ağların içinde ve hasara neden olmadan önce onları avlama yeteneği, endüstriyel siber güvenliğin bir sonraki evrimidir. Şimdi, her zamankinden daha fazla avlanma zamanı.