Kritik Altyapı Güvenliği, Yönetişim ve Risk Yönetimi, Operasyonel Teknoloji (OT)
‘Yüksek Tehdit Ortamı’ kritik altyapı ile karşı karşıya, ABD hükümeti uyarıyor
Mathew J. Schwartz (Euroinfosec) •
1 Temmuz 2025
Ağır kullanılan endüstriyel kontrol sistemleri türleri, genellikle Amerika Birleşik Devletleri’ndeki kritik altyapı operatörleri tarafından maruz kalan internet üzerinden kamuya açık olarak erişilebilir olmaya devam etmektedir. Başlamak için riskli bir hareket, bu tür maruz kalma, cihazları ulus devlet bilgisayar korsanları için yüksek değerli hedefler haline getiren jeopolitik gerilimleri monte etme ışığında özellikle tehlikeli olabilir.
Ayrıca bakınız: Ondemand Panel | HCLTech ve Microsoft ile OT güvenliğini güçlendirmek
Kritik altyapı ağları için artan risk uyarıları, İsrail 13 Haziran’da İran’a karşı füze saldırılarını başlatarak bölgesel bir savaşa yol açtı. Yakın zamanda müzakere edilen, kırılgan bir ateşkes yürürlükte kalıyor gibi görünüyor (bakınız: Siber saldırılara rağmen İsrail-İran Ateşkes tutma).
ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı Pazartesi günü, İran’a bağlı bilgisayar korsanlarının hedefleme olasılığı göz önüne alındığında, onları “uyanık kalmaları” konusunda uyaran kritik altyapı operatörlerine bir danışmanlık yayınladı.
Tehdit istihbarat firması Censys, son altı ay boyunca interneti ayda iki kez taradı ve internete kamuya açık olan yaygın olarak kullanılan dört tür ICS cihazından oluşan temsili bir örnek arıyor. Firma Pazartesi günü yaptığı açıklamada, genel maruziyetin Ocak -Haziran ayına kadar biraz arttığını söyledi.
Censys’in taranan cihazlarından biri, İsrail merkezli bir Unitronics tarafından yapılan programlanabilir mantık denetleyicileridir. Firmanın vizyon serisi cihazları, su ve atık su sektörü de dahil olmak üzere birçok sektörde kullanılıyor.
Araştırmacılar ayrıca, siteomat yakıt istasyonu otomasyon yazılımını çalıştıran Gilbarco Veeder -Root’un bir yan kuruluşu olan İsrail merkezli Orpak tarafından inşa edilen halka açık cihazları saydılar. Ayrıca, fabrika ve proses otomasyonu için yaygın olarak konuşlandırılan Red Lion tarafından yapılan, petrol ve gaz ortamlarında yapılan cihazları da aradı. Ayrıca, Tridyum tarafından yapılan Niagara olarak bilinen bir tesis otomasyon yazılımı çerçevesinin örnekleri için araştırıldı.
Çalışma süresi boyunca, halka açık cihazların sayısı%10’a kadar arttı ve 43.167 maruz kalan tridyum Niagara cihazına, 2.639 maruz kalan kırmızı aslan cihazına ve 1.697 maruz kalan Unitronics cihazlarına ulaştı. Daha az yaygın olarak kullanılmış gibi görünen açık Orpak siteomat cihazları, yaklaşık dörtte biri düştü ve 123 maruz kalan sisteme ulaştı.
Rapor yazarı Emily Austin, Censys’in baş güvenlik araştırmacısı Emily Austin, “internetteki hizmetlerin genellikle doğası gereği geçici olduğu” göz önüne alındığında, zaman içinde bazı dalgalanmaların olağandışı olmadığını söyledi.
Halka açık sistemlerin en fazla sayıda, Avustralya’da da yaygın olarak kullanılan Unitronics dışında Amerika Birleşik Devletleri’ndeydi.
Censys araştırması, bilinen güvenlik açıklarına sahip cihazlardan ziyade maruz kalan cihazların sayısını saydı, çünkü bu tür cihazların internete bağlı olması gerçeği bir tehdit oluşturuyor. Austin, “Kritik altyapıya bağlı sistemlerin doğrudan internete maruz kalmak risklidir ve önlenmelidir.” Dedi.
İran’a bağlı hacker uyarısı
Censys’in araştırması, ABD İç Güvenlik Bakanlığı’nı 22 Haziran’da “devam eden İran çatışmasının Amerika Birleşik Devletleri’nde artan bir tehdit ortamına neden olduğunu” ve “İran yanlısı hacktivistler tarafından ABD ağlarına karşı düşük seviyeli siber saldırıların ve İran hükümetine bağlı olan siber aktörlerin ABD ağlarına karşı saldırılar yürütebileceğini” söyledi.
DHS’nin bir parçası olan CISA, Pazartesi uyarısında İran hükümetine bağlı bilgisayar korsanları ve Tahran vekillerinin, değişmemiş veya eski cihazlara ve yazılımlara odaklandığını ve aynı zamanda değişmemiş fabrika varsayılan şifrelerinin kullanılmasıyla etkinleştirilen fırsatçı saldırıları desteklediğini söyledi.
Gerçek yaşam örnekleri boldur. 2023’ün sonlarında, ABD hükümetinin gerçekten İran’ın İslami devrimci muhafız kolordu, Unitronics PLC’lerinin siber-elektronik komutası olduğunu söylediği “Cyberav3ngers” olarak adlandırılan bir hack grubu. Grup, US yardımcı programlarındaki 34’ten fazla, çoğu olmasa da, her bir cihazın spor yaptığı varsayılan şifreden yararlanarak en az 75 PLC’yi tahrif etti.
Unitronics, Aralık 2023’te bir güvenlik uyarısı yayınladı ve müşterilere görme denetleyicilerini kontrol etmek için kullanılan Visilogic yazılımını en son sürüme güncellemelerini tavsiye etti – bu da kullanıcıların varsayılan şifreyi değiştirmesini gerektiriyor. Şirket ayrıca, müşterilere cihazların “açık, yetkisiz internet erişimi” ile bağlantısı kesilmesini sağlamalarını tavsiye etti.
Üretici, müşterilere cihazları yetkisiz erişimden taramak için bir güvenlik duvarı veya VPN uygulamalarını ve aynı zamanda uzaktan erişime ihtiyaç duymaları durumunda “erişim için IPS’ye izin verilmesi” kullanmalarını söyledi.
Kaç tane savunmasız Unitronics cihazının güncellendiği veya güvence altına alındığı açık değildir.
Aynı şey, bilinen bir güvenlik açığı ile gönderilen Orpak’ın SiteOmat yazılımının önceki sürümleri için varsayılan kullanıcı adı ve şifre şeklinde her ikisi de “Yönetici” olarak ayarlanmıştır. 2019 yazılım güncellemesinde, satıcı yöneticileri ilk giriş yaptıktan sonra varsayılan şifreyi değiştirmeye zorlamaya başladı.
Ekim 2023’te Cyberav3Ngers, İsrail genelinde 200 benzin istasyonunda Orpak cihazlarından ödün verdiğini iddia etti ve ABD Censys’in Austin, muhtemelen varsayılan kullanıcı adı ve şifreye sahip sistemleri bulduklarını ve kullandıklarını söyledi.
Daha yakın zamanlarda Open AI, Ekim 2024’teki bir tehdit raporunda, büyük dil modellerini keşif amacıyla kullanmak için Cyberav3ngers’a bağlı bireylerin çabalarını izlediğini söyledi.
Gözlemlenen kullanımlar arasında modellerden “kötü niyetli kodun nasıl gizleneceği hakkında üst düzey sorular, sık sık işbirliği sonrası etkinlik ile ilişkili çeşitli güvenlik araçlarının nasıl kullanılacağı ve bir dizi üründen hem açıklanan hem de eski güvenlik açıkları hakkında bilgi için” isteyen kullanıcılar. Bu, “Ürdün’de yaygın olarak kullanılan endüstriyel yönlendiriciler” için sorguların yanı sıra, internete bağlı ICS ürünleri tarafından kullanılan soket bağlantı noktası numaralarının listelerini ve Tridyum Niagara cihazları, Hirschmann RS serisi endüstriyel yönlendiriciler için varsayılan kullanıcı adları ve şifreler ve IP yazılımı üzerinden Asterisk sesi içeriyordu.
Cyberav3Ngers, operasyonel teknolojiyi ve Nesnelerin İnterneti altyapısını enfekte etmek için tasarlanmış iocontrol kötü amaçlı yazılımları kullandı.
Siber güvenlik firması Claroty, Aralık 2024’te, kötü amaçlı yazılımların IP kameralarından ve yönlendiricilerden PLC’lere, HMI’lara ve güvenlik duvarlarına, Baicells, D-Link, Hikvision, Red Lion, Orpak, Phoenix Contact, Teltonika ve Unitronics gibi her şeyi hedeflemek için kullanıldığını bildirdi (bkz: Araştırmacılar: İran özel kötü amaçlı yazılımlar yakıt sistemlerini hedefliyor).