Cyble karanlık web araştırmacıları, kritik altyapı ortamlarını ihlal eden ve sistem kontrollerini değiştiren, Rusya bağlantılı yeni bir tehdit grubunu belgeledi.
Z-Pentest grubu yalnızca iki aydır ortalıkta olmasına rağmen şimdiden en az 10 operasyonel teknoloji (OT) kontrol paneli hacklendiğini iddia ediyor; bunlara tehdit aktörlerinin bir ABD petrol kuyusu sistemini bozduğuna dair yakın zamanda doğrulanmamış bir iddia da dahil.
Cyble blog yazısında ayrıca, diğer faaliyetlerine ek olarak bu yıl ABD su sistemlerinde en az sekiz ihlal olduğunu iddia eden, Rusya’nın Yeniden Doğan Siber Ordusu olarak da bilinen eski bir Rus tehdit grubu olan Halkın Siber Ordusu’nun faaliyetlerine de bakıldı.
Hacktivist gruplar, ABD’de ve aralarında Kanada, Avustralya, Fransa, Güney Kore, Tayvan, İtalya, Romanya, Almanya ve Polonya’nın da bulunduğu diğer ülkelerdeki siber saldırılarının nedeni olarak sıklıkla Ukrayna’ya verilen desteği gösteriyor.
İki grubun istismarları aynı zamanda ABD ile olası bir siber savaşa hazırlık amacıyla Çin tarafından da hedef alınan ABD kritik altyapısının endişe verici durumunu da vurguluyor.
Z-Pentest’in Dramatik Videoları
İki Rus grubun dramatik bir yeteneği var. Örneğin Rusya Siber Ordusu, ağustos sonu ve eylül aylarında Teksas ve Delaware’deki su sistemlerindeki ihlallerin ardından operasyonel kontrolleri kurcalayan üyelerin ekran kayıtlarını yayınladı (aşağıdaki Teksas videosunun ekran görüntüsü).
Halkın Siber Ordusu, bu yılın başlarında Teksas’ın Abernathy ve Muleshoe kentlerinde su depolama tanklarının taşmasına neden olan Ocak saldırısıyla manşetlere çıktı. Su ve atık su sistemleri, genel olarak güvensiz olan kritik altyapı sektörlerinde bile özellikle savunmasız kabul edilmektedir.
Z-Pentest sahnede yeni olabilir, ilk kez Ekim ayında ortaya çıkıyor, ancak Sırp grup faaliyet gösterdiği iki ay içinde süreç kontrol panellerinde en az 10 ihlal iddiasında bulundu ve her vakada üyelerin kurcalama videolarını yayınladı sistem ayarlarıyla.
Geçtiğimiz hafta içinde Z-Pentest’in iddiaları, Cyble raporuna göre “su pompalama, petrol gazı yakma ve petrol toplamadan sorumlu sistemler de dahil olmak üzere bir petrol kuyusu sahasındaki kritik sistemleri bozduğu” iddialarını içerecek şekilde arttı.
6 dakikalık bir ekran kaydı, tesisin kontrol sistemlerinin ayrıntılı görüntülerini yakaladı ve “ihlal sırasında erişildiği ve değiştirildiği iddia edilen tank ayar noktalarını, buhar geri kazanım ölçümlerini ve operasyonel kontrol panellerini” gösterdi.
Petrol tesisinin nerede olduğu belli değil, ancak grup tarafından öne sürülen diğer iki ABD petrol tesisi iddiasının bilinen yerler ve şirketlerle örtüştüğü görülüyor.
Bilgisayar Korsanları Ne Kadar Kritik Altyapı Hasarı Verebilir?
Bilgisayar korsanları hassas ortamlara erişebiliyor gibi görünse de Cyble, ne kadar zarar verebileceklerinin net olmadığını belirtti. Araştırmacılar, programlanabilir mantık denetleyicilerinin (PLC’ler) “çoğunlukla zarar verici eylemlerin gerçekleşmesini engelleyebilecek güvenlik özellikleri içerdiğini, ancak bu tür ortamların tehdit aktörleri için erişilebilir olması gerçeğinin yine de endişe verici” olduğunu söyledi.
Cyble ayrıca son aylarda enerji sektörünü hedef alan tehdit faaliyetlerinde genel bir artış olduğunu da kaydetti. Dark web iddiaları ve fidye yazılımı saldırıları arttı ve ağ erişimi ve sıfır gün güvenlik açıkları, dark web pazaryerlerinde satışa sunuldu. Cyble ayrıca “daha büyük ihlaller ve saldırılar meydana gelmeden önce enerji ağı erişimine yönelik kimlik bilgilerinin karanlık ağda satışa sunulduğu örneklere de dikkat çekti; bu, kimlik bilgisi sızıntılarının izlenmesinin daha sonra daha büyük ihlalleri önlemek için önemli bir savunma olabileceğini öne sürüyor.”
Cyble, Z-Pentest’in ciddiye alınması gerektiğini, çünkü grubun bu ortamlara girme ve operasyonel kontrol panellerine erişme ve bunları düzeltme konusunda belirgin bir yetenek gösterdiğini söyledi.
Araştırmacılar ayrıca operasyonel teknoloji ve kritik altyapı ortamları için güvenlik önerileri de sundular; çoğu zaman kesintiyi göze alamayacaklarını ve genellikle yama yapılamayan kullanım ömrü sonu cihazlara sahip olduklarını belirttiler.
İlgili