Microsoft, 2023’ün sonlarından bu yana bu tür ortamları hedef alan bir dizi siber saldırının ardından, internete açık operasyonel teknoloji (OT) cihazlarının güvenliğinin sağlanması ihtiyacını vurguladı.
Microsoft Tehdit İstihbaratı ekibi, “OT cihazlarına yönelik tekrarlanan bu saldırılar, OT cihazlarının güvenlik duruşunu iyileştirmeye ve kritik sistemlerin kolay hedefler haline gelmesini engellemeye yönelik hayati ihtiyacı vurguluyor” dedi.
Şirket, bir OT sistemine yapılacak bir siber saldırının, kötü niyetli aktörlerin, programlanabilir mantık denetleyicisi (PLC) aracılığıyla programlı bir şekilde veya insan-makine arayüzünün (HMI) grafiksel kontrollerini kullanarak endüstriyel süreçlerde kullanılan kritik parametrelere müdahale etmesine izin verebileceğini belirtti. arızalara ve sistem kesintilerine neden olur.
Ayrıca, OT sistemlerinin çoğu zaman yeterli güvenlik mekanizmalarına sahip olmadığını, bu durumun onları düşmanlar tarafından istismar edilmeye ve “uygulanması nispeten kolay” saldırılar gerçekleştirmeye hazır hale getirdiğini söyledi; bu durum, OT cihazlarının internete doğrudan bağlanmasıyla ortaya çıkan ek risklerle birleşen bir gerçektir.
Bu, yalnızca cihazların saldırganlar tarafından internet tarama araçları aracılığıyla keşfedilmesini sağlamakla kalmaz, aynı zamanda zayıf oturum açma şifrelerinden veya bilinen güvenlik açıklarına sahip güncel olmayan yazılımlardan yararlanarak ilk erişim elde etmek için silah haline getirilir.
Daha geçen hafta Rockwell Automation, müşterilerini “küresel düzeyde artan jeopolitik gerilimler ve düşmanca siber faaliyetler” nedeniyle halka açık internete bağlanması amaçlanmayan tüm endüstriyel kontrol sistemlerinin (ICS) bağlantısını kesmeye çağıran bir tavsiye yayınladı.
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) da Kuzey Amerika ve Avrupa’daki savunmasız endüstriyel kontrol sistemlerini hedef alan Rusya yanlısı hacktivistlere ilişkin kendi uyarısını içeren bir bülten yayınladı.
Ajans, “Özellikle Rusya yanlısı hacktivistler HMI’ları manipüle ederek su pompalarının ve üfleme ekipmanlarının normal çalışma parametrelerini aşmasına neden oldu” dedi. “Her durumda, hacktivistler ayar noktalarını maksimuma çıkardı, diğer ayarları değiştirdi, alarm mekanizmalarını kapattı ve WWS operatörlerini kilitlemek için yönetim şifrelerini değiştirdi.”
Microsoft ayrıca, Ekim 2023’te İsrail-Hamas savaşının başlamasının, İsrail şirketleri tarafından geliştirilen, internete açık, zayıf güvenlikli OT varlıklarına yönelik siber saldırılarda ani bir artışa yol açtığını ve bunların çoğunun Siber Avcılar, Süleyman’ın Askerleri gibi gruplar tarafından yürütüldüğünü söyledi. ve İran’a bağlı Abnaa Al-Saada.
Redmond’a göre saldırılar, İsrail’de farklı sektörlerde konuşlandırılan ve uluslararası satıcılar tarafından üretilen OT ekipmanlarını ve ayrıca İsrail’den temin edilen ancak diğer ülkelerde konuşlandırılan OT ekipmanlarını hedef alıyordu.
Teknoloji devi, bu OT cihazlarının “zayıf güvenlik duruşuna sahip, potansiyel olarak zayıf şifrelerin ve bilinen güvenlik açıklarının eşlik ettiği, öncelikle internete açık OT sistemleri olduğunu” ekledi.
Bu tür tehditlerin oluşturduğu riskleri azaltmak için kuruluşların, özellikle saldırı yüzeyini azaltarak ve saldırganların güvenliği ihlal edilmiş bir ağ içinde yatay olarak hareket etmesini önlemek için sıfır güven uygulamalarını uygulayarak OT sistemleri için güvenlik hijyeni sağlamaları önerilir.
Bu gelişme, OT güvenlik firması Claroty’nin, Ukrayna tarafından desteklendiğinden şüphelenilen Blackjack hack grubunun, Moskova’nın yer altı sularını ve kanalizasyonunu izlemek için geniş bir sensör ağı bulunduran bir Rus şirketi olan Moscollector’a karşı kullanıldığı iddia edilen Fuxnet adlı yıkıcı bir kötü amaçlı yazılım türünü ortaya çıkarmasıyla ortaya çıktı. Acil durum tespit ve müdahale sistemleri.
Geçtiğimiz ayın başlarında saldırının ayrıntılarını paylaşan BlackJack, Fuxnet’i “steroidler üzerinde Stuxnet” olarak tanımladı ve Claroty, kötü amaçlı yazılımın muhtemelen SSH veya port üzerinden sensör protokolü (SBK) gibi protokoller kullanılarak hedef sensör ağ geçitlerine uzaktan dağıtıldığını belirtti. 4321.
Fuxnet, dosya sistemini geri dönülemez bir şekilde yok etme, cihaza erişimi engelleme ve hafızayı çalışmaz hale getirmek için sürekli olarak yazıp yeniden yazarak cihazdaki NAND hafıza çiplerini fiziksel olarak yok etme yeteneğiyle birlikte gelir.
Bunun da ötesinde, sensörün yeniden başlatılmasını önlemek için UBI birimini yeniden yazmak ve sonuçta sahte Metre-Veriyolu (M-Bus) mesajları seli göndererek sensörlerin kendilerini bozacak şekilde tasarlanmıştır.
“Saldırganlar, ağ geçitlerini hedef alan ve dosya sistemlerini, dizinleri, devre dışı bırakılan uzaktan erişim hizmetlerini, her cihaz için yönlendirme hizmetlerini silen ve flash belleği yeniden yazan, NAND bellek yongalarını, UBI birimlerini yok eden ve bu ağ geçitlerinin çalışmasını daha da bozan diğer eylemleri silen kötü amaçlı yazılım geliştirdi ve dağıttı. ” diye belirtti Claroty.
Rus siber güvenlik şirketi Kaspersky’nin bu hafta başında paylaştığı verilere göre internet, e-posta istemcileri ve çıkarılabilir depolama aygıtları, 2024’ün ilk çeyreğinde bir kuruluşun OT altyapısındaki bilgisayarlara yönelik ana tehdit kaynakları olarak ortaya çıktı.
“Kötü niyetli aktörler komut dosyalarını çok çeşitli amaçlar için kullanıyor: bilgi toplamak, takip etmek, tarayıcıyı kötü amaçlı bir siteye yönlendirmek ve kullanıcının sistemine veya tarayıcısına çeşitli kötü amaçlı yazılım türleri (casus yazılım ve/veya sessiz kripto madenciliği araçları) yüklemek.” söz konusu. “Bunlar internet ve e-posta yoluyla yayıldı.”