İngiltere’nin Ulusal Siber Güvenlik Merkezi (NCSC) ve ABD’li ortağı Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), bir dizi Amerikan hizmet kuruluşunun ardından, Rusya destekli hacktivist tehdit aktörlerinin kritik ulusal altyapıyı (CNI) hedef alan gelişen tehdidi hakkında bir uyarı yayınladı. saldırıya uğradılar.
NCSC daha önce ideolojik gerekçelerle hareket eden Rusya’yı destekleyen grupların paralı asker faaliyetlerindeki artış konusunda uyarmıştı; bunlar mutlaka Kremlin tarafından resmi olarak desteklenen Rahat Ayı gibi isimlerden memnun olan tehdit grupları değil, daha çok teknik açıdan daha az karmaşık gruplardır. kendi rızasıyla.
2024’ün başlarından itibaren bu tür grupların hem Avrupa hem de Kuzey Amerika’daki savunmasız, küçük ölçekli endüstriyel kontrol sistemlerini hedef aldığı görüldü ve bu, ABD’de bazı fiziksel aksaklıklara yol açtı.
Spesifik olarak, birçok Amerikan su ve atık su sistemi kurbanı, su pompaları ve üfleyici ekipmanlarının çalışma parametrelerini kısa süreliğine aştığını gördü ve insan-makine arayüzleri (HMI’ler) hacklendikten sonra bazı tank taşma olayları yaşadı.
Bu saldırılarda, hacktivistler ayar noktalarını maksimuma çıkardı, diğer ayarları değiştirdi, alarmları ve uyarıları kapattı ve operatörleri kilitlemek için yönetici şifrelerini değiştirdi.
Sisteme erişim sağlamak için çeşitli teknikler kullandılar; esas olarak sanal ağ hesaplama (VNC) protokolünün çeşitli unsurlarından yararlandılar.
NCSC, “Devlet bağlantılı aktörlerden operasyonel teknoloji (OT) operatörlerine kadar artan bir tehdit olmaya devam ediyor” dedi. “NCSC, Birleşik Krallık’taki temel hizmet sağlayıcılar da dahil olmak üzere tüm OT sahiplerini ve operatörlerini, savunmalarını güçlendirmek için önerilen hafifletme tavsiyelerine uymaya çağırıyor.”
Hacktivist veya paralı asker grupları, siber saldırıların kapsamı konusunda bilgisiz olabilir, ancak Rus istihbarat teşkilatlarının doğrudan gözetimine tabi olmadıkları için özellikle tehlikeli kabul ediliyorlar, bu nedenle eylemleri daha az kısıtlı, hedeflemeleri daha geniş ve etkileri daha fazla olabilir. yıkıcı ve daha az öngörülebilir.
Saldırıları genellikle dağıtılmış hizmet reddi saldırılarına, web sitesi tahrifatına ve yanlış bilgilendirmeye odaklandı, ancak birçok grup artık daha da ileri giderek CNI kuruluşları üzerinde daha yıkıcı, hatta yıkıcı bir etki elde etmek istediklerini açıkça belirtiyor.
NCSC, “Bu grupların, özellikle sistemler yeterince korunmuyorsa, böyle bir etki yaratacak fırsatları aramasını bekliyoruz” dedi.
“Dış yardım olmadan, bu grupların kısa vadede yıkıcı değil, kasıtlı olarak yıkıcı bir etkiye neden olma kapasitesine sahip olma ihtimalinin düşük olduğunu düşünüyoruz. Ancak zamanla daha etkili hale gelebilirler ve bu nedenle NCSC, kuruluşların gelecekteki başarılı saldırılara karşı riski yönetmek için hemen harekete geçmelerini öneriyor.”
Savunmacılar için sonraki adımlar
NCSC, CNI operatörlerine, özellikle güvenli sistem yönetimi konusundaki tavsiyelerini takiben, siber güvenlik duruşlarını derhal yenilemelerini tavsiye ediyor. Ayrıca kamu hizmetleri kuruluşlarının ve diğerlerinin iyileştirme alanlarını daha iyi belirlemelerine yardımcı olmak için Siber Değerlendirme Çerçevesi yönergelerini yeniden ortaya çıkardı.
ABD’de CISA ayrıca operasyonel teknolojiyi hacktivistlerden korumaya yönelik kılavuzlar yayınladı. Acil bir adım olarak, CNI operatörleri, HMI’larına uzaktan erişimi sertleştirmeli, bunların halka açık internet bağlantısını kesmeli ve uzaktan erişime gerçekten ihtiyaç duyuluyorsa yeni nesil güvenlik duvarları ve/veya sanal özel ağlar uygulamalı, kimlik bilgilerini ve erişim politikalarını sağlamlaştırmalı, VNC’yi korumalıdır. güncellendi ve yalnızca yetkili cihaz IP adresinin sistemlere erişmesine izin verecek bir izin verilenler listesi oluşturuldu.