Siber-fiziksel cihazlar, suç grupları ve devlet destekli tehdit aktörleri tarafından giderek daha fazla tehlikeye atılıyor ve bu cihazlardan yararlanılıyor.
Trend Micro Kıdemli Tehdit Çözümü Mimarı Fyodor Yarochkin, saldırganların altyapısını daha iyi anlamanın saldırganların kendilerini daha iyi anlamalarına yol açacağına inanıyor.
(Cevaplar netlik sağlamak amacıyla hafifçe düzenlenmiştir.)
Önümüzdeki hafta Deep Conference’taki konuşmanızda siber-fiziksel cihazların siber suçlular ve devlet destekli tehdit aktörleri tarafından ele geçirilip kullanıldığını konuşacaksınız. Siber-fiziksel bir cihazı nasıl tanımlarsınız? Saldırganlar hangi siber-fiziksel cihazlardan ve ne şekilde yararlanıyor?
Temel olarak kameralara ve fiziksel güvenlik sistemlerine yönelik saldırıların yanı sıra yönlendiriciler ve diğer bazı IoT cihazları gibi ilgili altyapılara yönelik saldırıları inceledik.
Siber fiziksel cihaz, fiziksel dünyayı ve bilgisayar ağlarını birbirine bağlayan bir cihazdır. Pek çok kişi “siber fiziksel cihaz” terimini Denetleyici Kontrol ve Veri Toplama (SCADA) sistemleri ve OT ağ bölümleriyle ilişkilendirebilir, ancak bundan daha fazlası da var.
Fiziksel dünyayı birbirine bağlayan cihazlar, saldırganlara benzersiz bir bakış açısı kazandırır: Olayları yerinde gözlemlemelerine, saldırılarının etkisini izlemelerine ve gözlemlemelerine olanak tanır ve hatta bazen fiziksel dünya üzerinde bir etki bile yapabilirler (ancak bu normalde bir tür SCADA/ICS ekipmanına bağlanmalarını gerektirir).
Kötü niyetli yer paylaşımlı ağlar, güvenliği ihlal edilmiş siber-fiziksel cihazlar üzerine nasıl kuruluyor?
Saldırganların coğrafi sınırlama kısıtlamalarını atlayabilmesi için birçok cihazın güvenliği yeni konumlarda varlık noktaları oluşturmak amacıyla ele geçiriliyor. Bu cihazlar sıklıkla birleştirilir ve yer paylaşımlı ağların bir parçası olarak kullanılır.
Bu cihazların çoğu geleneksel yönlendiriciler değil, sıcaklık sensörlerinden kameralara kadar herhangi bir şey olabilir. Bazı ülkelerde güvenliği ihlal edilmiş müze Android ekran panolarını bile gördük.
Bu tür faaliyetlere dair (henüz) net bir kanıta sahip olmasak da, bu cihazların ek özelliklerinin istismar edilebileceğinden şüpheleniyoruz.
Saldırganlar, ilk ele geçirme sonrasında gözetleme kameraları gibi siber-fiziksel cihazlarda kalıcılığı nasıl koruyabilir?
Yapmıyorlar. Önemli olan mümkün olduğunca düşük profilli olmaktır. Çoğu durumda, cihazların güvenliğinin ihlal edildiğini, yüklerin yüklendiğini ve ardından dosya sisteminden kaldırıldığını gözlemliyoruz. Cihaz yeniden başlatıldığında veriler kaybolur.
Kalıcılığı sürdürmek için gördüğümüz tek seçenek, cihazların en son güvenlik açığı bulunan donanım yazılımı sürümlerine düşürülmesidir.
Devlet destekli aktörler, ele geçirilen siber-fiziksel cihazları suç gruplarından farklı mı kullanıyor? Saldırganlar, suç piyasalarındaki risk altındaki siber-fiziksel altyapıya erişimden para mı kazanıyor? Saldırganlar, daha sonraki saldırılar için fiziksel ortamlarda keşif yapmak amacıyla güvenliği ihlal edilmiş siber-fiziksel cihazlar mı kullanıyor?
Devlet destekli aktörlerin operasyonel aktarma altyapılarını inşa etmeye ve yeniden inşa etmeye önemli miktarda zaman ayırdığına inanıyoruz. Bunlar sadece fırsatçı bir şekilde uzlaşmaya varan sistemler değil, aynı zamanda ilgi duydukları ülkelerde döner platformlar inşa ediyorlar.
Siber suçlu operatörleri esas olarak satabilecekleri veya kiralayabilecekleri altyapı inşa etmekle ilgileniyorlar ve sanırım bundan bu şekilde para kazanıyorlar.
Kolluk kuvvetleri tarafından yakın zamanda yaşanan botnet kesintileri, botnet operatörlerinin şu anda 3 Katmanlı mimariyi tercih ettiğini ortaya çıkardı: güvenliği ihlal edilmiş (IoT, sunucu, uç nokta) cihazlar, Katman 1 ve Katman 2’yi, bu cihazlar ile emir veren sunucular arasındaki iletişimi ileten sunucular haline getirir (Kademe 3) ). Böyle bir seçimin avantajları açıktır. Herhangi bir dezavantajı var mı (tabii ki bunların hepsi saldırganların bakış açısına göre)?
Altyapı yönetiminin karmaşıklığı muhtemelen ana dezavantajdır. Saldırganlar bunu bir komut dosyasıyla dağıtımın otomasyonu yoluyla çözüyor.
Ancak bu, başka bir dezavantajı da beraberinde getiriyor: Tehdit istihbaratı araştırmacıları tarafından aranabilecek/toplanabilecek bariz bir ağ ayak izi.
Dünya çapında birçoğu yetersiz güvenlik özelliklerine ve seçeneklerine sahip milyarlarca internet bağlantılı cihaz varken, size göre önümüzdeki 3 ila 5 yıl içinde bu sayının önemli ölçüde azalmasını sağlayabilecek bazı gerçekçi eylemler nelerdir?
Gerçekçi olmak gerekirse, ele geçirilen cihazların sayısını azaltmanın bir yolu olduğuna inanmıyorum. Bulaşık makinesi veya buzdolabı gibi nesnelerin IP adresine sahip olduğu, IoT cihazlarının baskın bağlı cihaz türlerinden biri olacağı ağlara doğru ilerliyoruz. Doğal olarak bu cihazların birçoğunun saldırganlar tarafından kolayca hedef alınabileceğini, istismar edilebileceğini ve pivot noktalarına dönüştürülebileceğini düşünüyorum.
Konut ve mobil proxy ağları sağa sola yayılıyor. Bazı kullanıcılar bilerek cihazlarına proxy yazılımı yüklerken, diğerleri etkili bir şekilde kandırılıyor. Bu ağlar meşru amaçlarla kullanılabilse de saldırgan gruplar tarafından DDoS saldırıları, şifre püskürtme, sosyal mühendislik kampanyaları veya hedefli izinsiz girişler için başlangıç noktası olarak da kötüye kullanılabilir. Deneyimlerinize göre bu ne sıklıkta oluyor?
Çok fazla DDoS görmüyoruz, ancak web kazıma, kimlik bilgisi püskürtme, kripto para birimi pompalama ve boşaltma kampanyaları, çevrimiçi mağazaların kazınması, spor ayakkabı bot etkinliği, çevrimiçi bilet spekülasyonu, kartlama ( coğrafi konumu kart sahibinin konumuyla eşleştirmek için) vb.
Mandiant araştırmacıları son zamanlarda operasyonel aktarma kutusu (ORB) ağlarının yükselişini ve bunların kendi saldırı veya iletişim altyapılarını ayakta tutmaktan kaçınmayı tercih eden saldırganlar tarafından nasıl giderek daha fazla kullanıldığını belgeledi. Mevcut jeopolitik durum bu gelişmeye nasıl izin verdi ve durumun bir sonraki mantıksal gelişiminin ne olmasını bekliyorsunuz?
ORB binası bazı tehdit aktörlerinin operasyonel prosedürlerinden biridir.
Birçok ülke, istenmeyen konumlardan gelen trafiği filtreleyerek coğrafi sınırlama gerçekleştirir ve ORB’ler buna mükemmel yanıttır. Saldırganların, beklenen zararsız trafikle aynı konumlardan ortaya çıkabilmesine olanak tanır.
Bazı ORB’ler güvenliği ihlal edilmiş cihazlara, diğerleri ise kiralanan altyapıya dayanmaktadır. Farklı gruplarda sıklıkla her ikisinin bir kombinasyonunu gözlemliyoruz.
ORB altyapısı, konut proxy’leri ve coğrafi sınırlamayı atlatmak için kullanılan yer paylaşımlı ağlar arasındaki büyüme ve birleşme büyük bir eğilimdir ve bu tür tekniklerin farklı bölgelerdeki tehdit aktörleri tarafından yaygın şekilde benimsendiğini sıklıkla görüyoruz.
Güvenliği ihlal edilen akıllı telefonların ve IoT cihazlarının çoğalması söz konusu olduğunda tedarik zincirinde uzlaşma ne kadar büyük bir sorundur?
Tedarik zincirinin tehlikeye atılması, akıllı telefonlar ve Android üzerinde çalışan daha küçük cihazlar (TV kutuları gibi) için popüler bir saldırı vektörüdür. Oldukça yaygındır ve bazı durumlarda bunun yazılım (yazılım paketi veya SDK) ve donanım (ürün yazılımı) ihlalinin bir kombinasyonu olduğuna da inanıyoruz.
Bu o kadar yaygındır ki bazen aynı donanım yazılımı üzerinde (aynı yazılım yazılımının farklı bileşenlerinde) iki veya daha fazla implant buluruz.