Kritik Altyapı Güvenliği
Zorunlu Araştırmacılar, “Kozmik Enerjinin” Güç Kesintisi Simülasyonlarından Gelebileceğini Söyledi
Micheal Novinson (Michael Novinson) •
25 Mayıs 2023
Rus operasyonel teknoloji kötü amaçlı yazılımının yeni bir türü, Avrupa, Orta Doğu ve Asya’da elektrik kesintilerine neden olabilir.
Ayrıca bakınız: İsteğe Bağlı Panel | Bir Kimlik Krizini Çözmek mi? Dolandırıcılık ve KYC için Yaklaşımlar, Etkiler ve Yenilikler
Tehdit istihbaratı firması Mandiant tarafından “CosmicEnergy” olarak adlandırılan kötü amaçlı yazılım, uzak terminal birimleri gibi güç sistemi otomasyon cihazlarıyla etkileşime girerek ortalığı kasıp kavuruyor.
Perşembe günü yayınlanan araştırmada Mandiant, bir müteahhitin kötü amaçlı yazılımı bir Rus siber güvenlik şirketi tarafından barındırılan simüle edilmiş güç kesintisi tatbikatları için kırmızı ekip oluşturma aracı olarak geliştirmiş olabileceğini söyledi.
Mandiant, CosmicEnergy’nin keşfedilmesinin endişe verici olduğunu çünkü OT ortamlarının yakın zamanda düzeltilmesi muhtemel olmayan tasarım gereği güvensiz özelliklerinden yararlandığını söyledi. Mandiant, Avrupa, Orta Doğu ve Asya’da yaygın olan uzak terminal birimlerine yönelik simüle edilmiş bir saldırının parçası olsa bile, gelişiminin saldırgan OT tehdidi faaliyetinin artık iyi kaynaklara sahip veya devlet destekli aktörlerle sınırlı olmadığını gösterdiğini söyledi (bkz:: ENISA, Devlet Destekli Daha Fazla OT Hacking’in Geleceğini Söyledi).
Mandiant araştırmacıları, “Aktörler yeni kötü amaçlı yazılım geliştirmek için önceki saldırılardan elde edilen bilgileri kullandıkça, saldırgan OT yetenekleri geliştirmeye yönelik giriş engelleri azalıyor.” “Tehdit aktörlerinin vahşi ortamda hedeflenen tehdit faaliyetleri için kırmızı ekip araçlarını ve kamuya açık istismar çerçevelerini kullandığı göz önüne alındığında, CosmicEnergy’nin etkilenen elektrik şebekesi varlıkları için makul bir tehdit oluşturduğuna inanıyoruz.”
Kozmik Enerji Nasıl Çalışır?
Kötü amaçlı yazılım, saldırganların güç hattı anahtarlarının ve devre kesicilerin çalışmasını etkileyen uzaktan komutlar göndermesine izin vererek güç kesintisine neden olur. Bu yöntem, operasyonel teknolojiye erişmek için bir kanal sistemi olarak bir Microsoft SQL sunucusunu kullandığı görülen bir 2016 istismarına benzer.
Mandiant, CosmicEnergy’nin bir bileşeninin, kullanıcı tarafından sağlanan uzak bir Microsoft SQL sunucusuna bağlanabildiğini ve uzak terminal birimine uzaktan komutlar verebildiğini buldu. Kötü amaçlı yazılım, uzaktaki sistemi açmaya veya kapatmaya yönlendirebilir ve komutu verdikten sonra dış müdahale kanıtlarını anında siler.
CosmicEnergy’nin ikinci bir bileşeni, cihazın açık veya kapalı olup olmadığını değiştiren yapılandırılabilir mesajlar yoluyla uzak terminal birimlerinin durumunu değiştirir. CosmicEnergy’den yararlanmak için, bir kötü amaçlı yazılım operatörünün Microsoft SQL sunucusu IP adreslerini, Microsoft SQL kimlik bilgilerini ve hedef uzak terminal birimi cihazı IP adreslerini almak için dahili keşif gerçekleştirmesi gerekir.
Araştırmacılar, “OT savunucuları ve varlık sahipleri, vahşi dağıtımda önlem almak ve OT kötü amaçlı yazılımlarında sıklıkla dağıtılan ortak özellikleri ve yetenekleri daha iyi anlamak için CosmicEnergy’ye karşı hafifletici önlemler almalıdır.” “Bu tür bilgiler, tehdit avlama egzersizleri gerçekleştirirken ve OT ortamlarında kötü niyetli etkinliği belirlemek için algılamayı dağıtırken yararlı olabilir.”
Kozmik Enerji Nereden Geldi?
CosmicEnergy’nin kodundaki bir yorum, onu 2019’da siber güvenlik uzmanlarını eğitmek ve elektrik kesintisi ve acil müdahale tatbikatları yapmak için devlet sübvansiyonu alan bir Rus siber güvenlik şirketiyle ilişkilendiriyor. Araştırmacılar, kötü amaçlı yazılımın Rus siber güvenlik şirketi veya ilgili bir tarafça enerji şebekesi varlıklarına karşı gerçek saldırı senaryolarını yeniden oluşturmak için geliştirilmiş olabileceğini söyledi.
Alternatif olarak, araştırmacılar, CosmicEnergy’yi geliştirmek için izinli veya izinsiz farklı bir aktörün 2019 eğitim alıştırmasıyla ilişkili kodu yeniden kullanmasının mümkün olduğunu söyledi. Tehdit aktörleri, gerçek dünya saldırılarını kolaylaştırmak için kırmızı ekip araçlarını düzenli olarak uyarlar ve kullanır; öte yandan ulus-devlet aktörleri, saldırı yetenekleri geliştirmek için sıklıkla yüklenicilere güvenir.
Araştırmacılar, “Bu gözlemler, CosmicEnergy’nin kötü niyetle geliştirildiği ve en azından vahşi ortamda hedeflenen tehdit faaliyetlerini desteklemek için kullanılabileceği olasılığını açık bırakıyor” diye yazdı.
Mandiant’a göre CosmicEnergy’nin yetenekleri, geçmişte elektrik iletimini ve dağıtımını sekteye uğratan diğer kötü amaçlı yazılım çeşitleriyle uyumlu. Kötü amaçlı yazılımın, Python kullanılarak geliştirilen veya paketlenen ya da OT protokolü uygulaması için açık kaynak kitaplıkları kullanan diğer türlerle de benzerlikleri vardır.
Son yıllarda OT kötü amaçlı yazılımı geliştirmek veya paketlemek için Python kullanımının artması göz önüne alındığında, Mandiant saldırganların OT kötü amaçlı yazılımını bu şekilde derlediğini gözlemlemeye devam etmeyi umuyor. Açık kaynaklı projelerin mevcudiyeti, OT cihazlarıyla etkileşime girmeye çalışan saldırganların giriş engelini azaltabilir, ancak Mandiant, tescilli OT protokollerinin muhtemelen özel uygulamalar gerektirmeye devam edeceğini söyledi.
Araştırmacılar, “OT odaklı kötü amaçlı yazılım aileleri, belirli bir hedef ortam için amaca yönelik olarak oluşturulabilirken, tasarım gereği güvenli olmayan OT protokollerinden yararlanan kötü amaçlı yazılımlar … değiştirilebilir ve birden çok kurbanı hedeflemek için birden çok kez kullanılabilir.”