Yeni araştırmalara göre, kısmen Ukrayna’da devam eden ihtilafın körüklediği mali ve siyasi kazanç güdüsü, tehdit aktörlerini endüstriyel kontrol sistemlerini (ICS) her zamankinden daha yıkıcı siber saldırılarla doldurmaya teşvik etti ve kritik altyapı için tehdit ortamını çeşitlendirdi.
Nozomi Networks’ün “OT/IoT Güvenlik Raporu: ICS’ye Derin Bir Bakış”a göre, saldırganların kendilerini yeni taktikler ve kötü amaçlı yazılımlarla donatarak ICS operatörlerini ağlarını korumak istiyorlarsa seviye atlamaya zorlamasıyla bu eğilimin 2023 boyunca devam etmesi bekleniyor. 2022’nin ikinci yarısı için Tehdit Manzarası”, 18 Ocak’ta yayınlandı.
Eskiden ICS’ye yönelik saldırıların önde gelen failleri, kötü amaçlı yazılım yüklerini bırakmak ve ağlara uzaktan erişim elde etmek için uzaktan erişim Truva Atlarını (RAT’ler) kullanarak ve ayrıca dağıtılmış hizmet reddi (DDoS) kurarak ulus devlet aktörleriydi. Nozomi Networks güvenlik araştırmaları savunucusu Roya Gordon, saldırıların “uygunsuz” kesintiye neden olduğunu söylüyor. “Tarihsel olarak, kritik altyapı kesintileri bir ulus-devlet taktiği olarak görülüyordu” diyor.
Bununla birlikte, Mayıs 2021’de artık kötü bir üne sahip olan Colonial Pipeline saldırısı, bu eğilimde önemli bir değişime işaret etti. Bu olayda, çalınan bir parolayla başlayan bir fidye yazılımı saldırısı, Amerika Birleşik Devletleri’nin doğusunda paniğe ve gaz kesintilerine neden oldu ve saldırganlar, yeni saldırı vektörlerinin ne kadar yıkıcı ve potansiyel olarak kazançlı olabileceğini fark etti, diyor.
Gordon, “Colonial Pipeline saldırısı, siber suçluların, büyük ölçüde gerçek zamanlı verilere bağlı olma eğiliminde oldukları ve fidye taleplerini karşılama araçlarına sahip oldukları için, finansal kazanç için kritik altyapı üzerindeki fidye yazılımı saldırılarından nasıl yararlanabileceklerini gösterdi” diye belirtiyor Gordon.
Ardından, Rusya’nın geçen Şubat ayında Ukrayna’ya saldırmasıyla, ICS’ye yönelik saldırılar, geleneksel olarak veri ihlalleri ve DDoS saldırılarıyla tanınan bilgisayar korsanlarının, siyasi kazanç elde etmek için Ukrayna’daki demiryolları ve diğer kritik altyapılar gibi ulaşım sistemlerini ve diğer kritik altyapıları bozmak için yıkıcı silici kötü amaçlı yazılımlar kullanmasıyla siyasi bir hal aldı. diyor.
Gordon, bunun yalnızca ICS’ye kimin saldırdığını değil, aynı zamanda bu saldırıları nasıl ve hangi amaçla başlattıklarını da değiştirdiğini söylüyor. “Sonuç olarak, tüm cephelerdeki bu benzeri görülmemiş düzeydeki faaliyet bizi endişelendirmeli.”
En Popüler ICS Siber Saldırı Trendleri
Rapor, açık kaynak ortamı, CISA ICS-CERT tavsiyeleri ve Nozomi Networks telemetrisi dahil olmak üzere çeşitli kaynaklardan alınan bilgilerin bir derlemesine ve ayrıca Nozomi araştırmacılarının “daha derin bir deneyim” için kullandıkları özel IoT bal küplerine dayalı olarak ICS tehdit ortamındaki en önemli eğilimleri belirledi. Gordon, düşmanların OT ve IoT’yi nasıl hedef aldığına dair içgörü sağlayarak, bu sistemlere erişmeye çalışan kötü niyetli botnet’lerin anlaşılmasını ilerletiyor” diyor.
Araştırmacıların son altı ayda gözlemlediği şey, saldırılarda önemli bir artış olmasıydı ve ulaşım ve sağlık hizmetleri, kendilerini daha geleneksel hedefler arasında düşmanların hedef noktasında bulan en yeni sektörler arasındaydı.
Saldırganlar, ICS ağlarına ilk giriş için çeşitli yöntemler kullanıyor, ancak tarihsel olarak yalnızca ICS’yi değil tüm kurumsal BT sektörünü rahatsız eden bazı yaygın zayıf güvenlik bağlantıları (zayıf/açık metin parolaları ve zayıf şifreleme) en önemli erişim tehditleri olmaya devam ediyor.
Bulgulara göre yine de “Kök” ve “yönetici” kimlik bilgileri, tehdit aktörlerinin ağda bir kez ilk erişimi elde etmesi ve ayrıcalıkları yükseltmesi için bir yol olarak kullanılıyor. Tehdit aktörlerinin yolunu bulmasının diğer yolları arasında kaba kuvvet saldırıları ve DDoS girişimleri yer alır.
Kötü amaçlı yazılım açısından, RAT’ler, ICS’ye karşı tespit edilen en yaygın kötü amaçlı yazılım olmaya devam ederken, DDoS kötü amaçlı yazılımı ve alışılmadık derecede yüksek ve hala yükselen IoT botnet etkinliği, bir ağdaki IoT cihazları için en büyük tehdit olmaya devam etti. Araştırmacılar, IoT cihazlarını hacklemek için varsayılan kimlik bilgilerinin kullanılmasının, IoT botnet’leri için birincil giriş yolu olduğunu buldu.
Geçen yılın ikinci yarısında, ICS’ye yönelik saldırılar Temmuz, Ekim ve Aralık aylarında arttı ve bu ayların her birinde 5.000’den fazla benzersiz saldırı gerçekleşti. Üretim ve enerji en savunmasız sektörler olmaya devam etti ve bunu su/atık su, sağlık ve ulaşım sistemleri izledi.
Araştırmacılar, ilginç bir şekilde, Ukrayna’yı hedeflemedeki artışa rağmen, 2023’ün ikinci yarısında gözlemlenen en iyi saldırgan IP adreslerinin Rusya’dan veya Rusya’nın yanında yer alan ülkelerden gelmediğini buldu. Bunun yerine, Nozomi’nin verilerine göre, ICS saldırılarıyla ilişkili ana IP adresleri Çin, ABD, Güney Kore ve Tayvan’daydı.
İleriye Bak
Dikkat edilmesi gereken ICS/IoT tehditleri arasında en üst sıralarda yer alır: Saldırganlar, operatörlerin geçmişte gördüklerini takip etmeyen hibrit tehdit taktikleri kullanır; TTP’lere ve amaçlara göre tehdit aktörlerini kategorize etmek giderek zorlaşacak” dedi.
Sağlık sektöründeki kuruluşlar — ki gördüler saldırılarda ani artış Nozomi’ye göre, pandemi büyük ölçüde azalırken bile devam eden COVID-19 vuruşu, tıbbi cihaz güncellemelerinden haberdar olmaya dikkat etmelidir. Tehdit aktörleri, cihaz verilerini toplayan tıbbi sistemlere erişmek için açıklardan yararlanacaklardır. potansiyel olarak arızalara, yanlış okumalara ve hatta ilaçların otomatik olarak salınmasında aşırı dozlara yol açan hastalar için korkunç ve hatta yaşamı tehdit edici sonuçlar doğurabilir.
Ufuktaki bir diğer yeni tehdit, saldırganların kod yazma veya güvenlik açıkları için açıklardan yararlanma geliştirme gibi kötü amaçlı amaçlar için kullanacakları yapay zeka güdümlü sohbet robotlarından geliyor. Araştırmacılar ayrıca, bunları ICS ağlarına giriş erişimi olarak kullanılabilecek daha doğru kimlik avı/sosyal mühendislik metinleri oluşturmak için de kullanabilirler.
Rapora göre, “Bütün bunlar, hedefli tehdit kampanyaları geliştirmek için gereken süreyi azaltabilir, böylece siber saldırıların sıklığını artırabilir.”
Gordon, haberler iç karartıcı görünse de, yaklaşmakta olan tehditlere karşı ICS’yi korumanın, herhangi bir kuruluşun zaten kullanması gereken tipik BT güvenlik uygulamalarını kullanarak “temel siber hijyen” uygulamak kadar basit olabileceğini söylüyor.
“Tehdit aktörleri OT’ye ve IoT’ye doğrudan erişme yeteneğine sahip olsa da, önce BT’yi ihlal etmek ve OT’ye dönmek onların uzun süredir devam eden stratejilerinden biri” diyor. “Bu nedenle, BT’yi güvence altına almak için adımlar atmak çok önemli.”