İran siber operatörleri Amerikan kritik altyapısına saldırılarını yoğunlaştırdı ve istihbarat grubu 13, ABD’deki su arıtma tesislerini, elektrik ızgaralarını ve endüstriyel kontrol sistemlerini hedefleyen birincil tehdit aktörü olarak ortaya çıktı.
İslam Devrim Muhafız Kolordusu (IRGC) Şahid Kaveh Siber Grubu şemsiyesi altında faaliyet gösteren grup, endüstriyel kontrol sistemlerinin, özellikle de temel altyapı operasyonlarını yöneten Unitronics programlanabilir mantık kontrolörleri (PLCS) penetran ve uzlaşmada sofistike yetenekler göstermiştir.
İranlı korsanlar, teknik sabotajı psikolojik savaş operasyonlarıyla birleştiren çok yönlü bir yaklaşım kullanırken tehdit manzarası önemli ölçüde gelişti.
.webp)
Son kampanyaları, saldırganların kontrol sistemlerine yetkisiz erişim elde ettikleri ve propaganda kanalları aracılığıyla uzlaşmacı ekran görüntüleri de dahil olmak üzere, yüksek oranda yayınlanmış Aliquippa su sistemi saldırısı da dahil olmak üzere Pennsylvania’daki su arıtma tesislerine başarılı bir şekilde sızdı.
Bu operasyonlar, milyonlarca Amerikalının günlük olarak güvendiği sivil altyapıyı hedefleyen devlet destekli siber savaşta ilgili bir yükselmeyi temsil ediyor.
.webp)
Intelligence Group 13’ün operasyonel metodolojisi, hedef ortamlarda ön konumlandırma kötü amaçlı yazılımların önünde, gelecekteki sabotaj operasyonları için etkinleştirilebilecek hareketsiz implantlar oluşturur.
Domaintools araştırmacıları, grubun endüstriyel kontrol sistemlerini manipüle etmek için özel olarak tasarlanmış Iocontrol ve Project Binder gibi özel kötü amaçlı yazılım araçlarının dağıtılmasını içeren sofistike Tradecraft’ı belirlediler.
Saldırganlar, hedef ağlara ilk erişim elde etmek için kimlik avı kampanyalarından, kimlik bilgisi hırsızlığı ve açık kaynaklı istihbarat toplantılarından yararlanır ve daha sonra kritik altyapı ortamlarında kalıcı tabanlar oluşturur.
Grubun teknik cephaneliği, su arıtma ve dağıtım tesislerinde yaygın olarak kullanılan Unitronics PLC’lerini sömürmede özel bir uzmanlığa sahip endüstriyel kontrol sistemleri mimarisinin ileri düzeylerini göstermektedir.
.webp)
Saldırı vektörleri tipik olarak mızrak aktı operasyonları yoluyla kimlik bilgisi hasadı içerir, ardından denetim kontrolü ve veri toplama (SCADA) sistemlerine ulaşmak için operasyonel teknoloji ağları içinde yanal hareket içerir.
Kalıcılık ve Kaçma Taktikleri
Intelligence Group 13, kötü amaçlı yazılımlarının uzatılmış sistemlerde uzun süreler boyunca tespit edilmemesini sağlayan sofistike kalıcılık mekanizmaları kullanır.
Onların yaklaşımı, genellikle meşru sistem süreçleri veya bakım kamu hizmetleri olarak maskelenen endüstriyel kontrol ağlarının derinliklerine göre kötü amaçlı yazılım implantlarını gömmeyi içerir.
.webp)
Grubun iocontrol kötü amaçlı yazılımı, normal ağ trafiği ile karışmak için meşru sistem API’leri ve iletişim protokollerini kullanarak gelişmiş kaçırma yeteneklerini gösterir.
Kötü amaçlı yazılımların kalıcılık stratejisi, birincil implantlar keşfedilse ve kaldırılsa bile operasyonel sürekliliğin sağlanmasını sağlayan hedef ağlarda birden fazla gereksiz erişim noktasının oluşturulmasını içerir.
Teknik analiz, saldırganların zamana dayalı aktivasyon tetikleyicilerini uyguladığını ve kötü amaçlı yazılımların belirli koşullar karşılanana veya önceden belirlenmiş tarihler gelene kadar uykuda kalmasına izin verdiğini ortaya koymaktadır.
Bu yaklaşım, tehdit aktörlerinin rutin güvenlik izleme sırasında tespit risklerini en aza indirirken uzun vadeli erişimi sürdürmelerini sağlar.
Cyberaveng3RS propaganda kolu, operasyonel koordinasyon ve tehdit istihbaratının yayılması için bir iletişim kanalı görevi gören psikolojik savaşın ötesinde ikili bir amaca hizmet eder.
Grubun kontrol paneli ekran görüntülerini ve sistem yapılandırma ayrıntılarını sızdırma yeteneği, hedef ortamlara kapsamlı erişim gösterir ve altyapı penetrasyon yeteneklerinin şiddetini vurgular.
Canlı kötü amaçlı yazılım davranışını araştırın, bir saldırının her adımını izleyin ve daha hızlı, daha akıllı güvenlik kararlarını alın -> Herhangi birini deneyin. Şimdi