Birleşik Krallık’ın Ulusal Siber Güvenlik Merkezi (NCSC), Avustralya, Kanada, Yeni Zelanda ve ABD’deki Five Eyes müttefikleriyle birlikte, kritik ulusal altyapı (CNI) operatörlerine acil bir uyarı yayınlayarak devletin güvenlik önlemlerini nasıl aldığına dair yeni ayrıntıları paylaştı. Desteklenen tehdit aktörleri, ağlarında varlığını sürdürmek için arazide yaşama tekniklerini kullanıyor.
Arazide yaşamak, normalde kimsenin şüphe uyandırmayacağı, doğal olarak oluşan trafiğe uyum sağlamak için kullanıcıların BT sistemlerindeki mevcut, meşru araçların kullanılması anlamına gelir. Kötü niyetli aktörler, LOLbin’ler olarak da bilinen bu araçları veya ikili dosyaları kullanarak güvenlik savunmalarını ve ekipleri nispeten kolaylıkla aşabilir ve ödeme yöneticilerinin hizmetinde gizlice çalışabilirler.
NCSC, en olgun siber güvenlik tekniklerine sahip kuruluşların bile araziden yapılan bir saldırıyı kolayca fark edemeyebileceğini söyledi ve bu tür bir faaliyetin Birleşik Krallık’taki CNI için açık bir tehdit oluşturmasının “muhtemelen” olduğunu değerlendirdi. Bu nedenle, tüm CNI operatörlerini (enerji tedarikçileri, su şirketleri, telekom operatörleri vb.) uzlaşmaların tespit edilmesine ve güvenlik açıklarının azaltılmasına yardımcı olacak bir dizi önerilen eylemi takip etmeye çağırıyor.
Özellikle, hem Çinli hem de Rus bilgisayar korsanlarının güvenliği ihlal edilmiş CNI ağlarında araziden uzakta yaşadıklarının gözlemlendiği konusunda uyardı; tekniğin önde gelen temsilcilerinden biri Sandworm olarak bilinen GRU sponsorluğundaki gelişmiş kalıcı tehdit (APT) aktörüdür. LOLbins, Ukrayna’daki hedeflere yoğun bir şekilde saldırıyor.
NCSC operasyon direktörü Paul Chichester, “Birleşik Krallık’taki kritik altyapı operatörlerinin, siber saldırganların kurbanların sistemlerini gizlemek için karmaşık teknikler kullandığına ilişkin bu uyarıyı dikkate alması hayati önem taşıyor” dedi.
“Faaliyetlerini tespit edilmeden sürdürmek zorunda bırakılan tehdit aktörleri, temel hizmetlerin sağlanmasına yönelik kalıcı ve potansiyel olarak çok ciddi bir tehdit oluşturuyor. Kuruluşlar, ağlarında bulunan kötü amaçlı etkinliklerin tespit edilmesine ve azaltılmasına yardımcı olmak için en son kılavuzda belirtilen korumaları uygulamalıdır.”
Başbakan yardımcısı Oliver Dowden, “Ön cephenin giderek daha fazla çevrimiçi olduğu bu yeni, tehlikeli ve değişken dünyada, sistemlerimizi korumalı ve geleceğe hazır hale getirmeliyiz” diye ekledi. “Bu haftanın başlarında, siber güvenliğin Birleşik Krallık ekonomisinde güven, dayanıklılık oluşturma ve büyümeyi serbest bırakma aracı olarak ele alınacağı bağımsız bir incelemeyi duyurdum.
“Birleşik Krallık genelinde kritik altyapımızın dayanıklılığını artırarak, bize zarar verebilecek siber saldırganlara karşı kendimizi koruyacağız” diye ekledi.
Savunmacılar için öncelikli eylemler
CNI operatörlerinin standart en iyi uygulamaların bir parçası olarak siber güvenlik duruşlarına yönelik derinlemesine savunma yaklaşımını benimsemeleri zorunlu olsa da, yeni yayınlanan kılavuz bir dizi öncelikli tavsiyeyi özetlemektedir:
- Güvenlik ekipleri, günlük tutmayı ve günlükleri bant dışı, merkezi bir konumda uygulamalıdır;
- Kullanıcı, ağ ve uygulama etkinliğine ilişkin bir temel oluşturmalı ve etkinlik günlüklerini sürekli olarak incelemek ve karşılaştırmak için otomasyon uygulamalıdırlar;
- Uyarı gürültüsünü azaltmaları gerekir;
- Uygulama izin verilenler listesini uygulamalıdırlar;
- Ağ bölümlendirmesini ve izlemeyi geliştirmelidirler;
- Kimlik doğrulama kontrollerini uygulamalıdırlar;
- Kullanıcı ve varlık davranışı analitiğinden (UEBA) yararlanmaya çalışmalıdırlar.
Bunlar ve diğer önerilerle ilgili daha fazla ayrıntı ABD yetkilileri tarafından yayınlandı ve Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA) web sitesinde okunabilir.
LogRhythm müşteri çözümleri mühendisi Gabrielle Hempel şunları söyledi: “Kritik altyapı sistemleri son derece karmaşık ve birbirine bağlı; bu da onların yalnızca saldırılara karşı güvenlik altına alınmasını zorlaştırmakla kalmıyor, aynı zamanda sahip olabilecekleri güvenlik açıklarını anlamak ve azaltmak için özel bilgi gerektiriyor.
“Genellikle kritik altyapı kuruluşlarının kaynak kısıtlamaları da vardır, bu da hem personel hem de mali açıdan güvenlik önlemlerinin uygulanmasını ve sürdürülmesini zorlaştırır.”
Hempel, CNI’ya yapılan saldırılardan kaynaklanan maliyetlerin muhtemelen çok aşamalı olacağını, bunların arasında olaya müdahalenin ön maliyeti, sistem kurtarma ve değiştirme ve bunları takip edebilecek düzenleyici cezalar ve yasal maliyetler de yer alacak. Bununla birlikte, bunu takiben, çeşitli sistemlerden aşağıya doğru uzanan yoğun bir tedarik zinciri de kesintiye uğrayacak ve sonuçta tüketiciler için maliyetleri artırabilecektir.
Hempel, “İşbirlikçi uyarı, aynı siber tehditlerin tüm dünyada etkili olduğu yönündeki endişe verici gerçeğin altını çiziyor” diye ekledi.
“Bilgi ve istihbaratın gerçek zamanlı paylaşımı, ortak araştırma girişimleri ve siber güvenlik için birleşik standartlar ve çerçevelerin geliştirilmesi dahil, uluslararası işbirliğini güçlendirmek için çok sayıda fırsat var.
“Ancak, kritik altyapılara yönelik güvenlik açıklarını ve saldırıları gerçek anlamda ele almak için yalnızca ulusal düzeyde değil, küresel ölçekte kamu-özel sektör ortaklıklarını geliştirmenin önemini vurgulamak da önemlidir. Bu saldırılar eş zamanlı olarak coğrafi olarak tüm dünyaya ve kamudan özel sektöre kadar tüm kuruluşlara yayıldığı için, bunların bu düzlemlerde de ele alınması gerekiyor” dedi.
Volt Tayfun esiyor
Aynı zamanda Five Eyes ajansları, ilk kez Mayıs 2023’te Microsoft aracılığıyla dikkat çeken, Volt Typhoon olarak bilinen Çin APT’sinin ayrıntılarını paylaşan ayrı bir danışma belgesi yayınladı.
Volt Typhoon, özellikle ABD’deki CNI sistemlerini tehlikeye atmak için yaygın olarak kullandığı LOLbins’in bir başka aktif kullanıcısıdır. Daha geçen hafta ABD yetkilileri, CNI operatörlerine yönelik devam eden saldırıları gizlemek için kullanılan bir botnet oluşturmak amacıyla yüzlerce savunmasız Cisco ve Netgear yönlendiricisinin ele geçirildiği bir Volt Typhoon operasyonunu kesintiye uğrattı.
CISA, Volt Typhoon’un iletişim, enerji, ulaştırma ve su sektörlerindeki ABD CNI operatörlerinin ağlarını tehlikeye attığını doğruladığını söyledi.
Ajans, APT’nin hedefleme ve davranış modelinin şu şekilde olduğu konusunda uyardı: Olumsuz Fikri mülkiyet (IP) hırsızlığına odaklanma eğiliminde olan geleneksel Çin siber casusluğuyla tutarlıdır.
Bu nedenle, Volt Typhoon’un, özellikle Tayvan üzerindeki jeopolitik gerilimlerin çatışmaya dönüşmesi durumunda kesintiye uğratabilecekleri operasyonel teknoloji (OT) varlıklarına yanal hareketler sağlayacak şekilde kendisini önceden konumlandırdığını yüksek derecede bir güvenle değerlendiriyor.
“ÇHC [People’s Republic of China] Siber tehdit teorik değildir: CISA ekipleri, hükümet ve endüstri ortaklarımızdan gelen bilgilerden yararlanarak, Volt Typhoon’un birden fazla sektördeki kritik altyapıya izinsiz girişlerini tespit etti ve ortadan kaldırdı. Ve bugüne kadar bulduklarımız muhtemelen buzdağının görünen kısmıdır” dedi CISA direktörü Jen Easterly.
“Bugünkü ortak tavsiye ve kılavuz, endüstrimiz, federal ve uluslararası ortaklarımızla etkili, kalıcı operasyonel işbirliğimizin sonucudur ve tüm paydaşlarımıza zamanında, eyleme dönüştürülebilir rehberlik sağlama konusundaki sürekli kararlılığımızı yansıtmaktadır. Ulusal güvenliğimiz açısından kritik bir kavşaktayız. Tüm kritik altyapı kuruluşlarını, bu tavsiyelerde yer alan eylemleri gözden geçirip uygulamaya ve şüphelenilen Volt Typhoon’u veya arazide yaşayan faaliyetleri CISA veya FBI’a bildirmeye şiddetle teşvik ediyoruz.”