ABD, Endüstriyel Kontrol Sistemlerine Saldıran APT Hacker'ları Konusunda Uyardı
ABD hükümetinin güvenlik kurumları "CISA, FBI, DOE ve NSA", kısa süre önce, devlet destekli bilgisayar korsanlığı grupları tarafından kötü amaçlı yazılım kullanan endüstriyel kontrol sistemlerine (ICS) ve SCADA cihazlarına karşı devam eden saldırılar hakkında uyarılarda bulunan ortak bir güvenlik tavsiyesi yayınladı.
İşte güvenlik kurumlarının söyledikleri:
"APT aktörleri, ICS/SCADA cihazlarını hedeflemek için özel yapım araçlar geliştirdi. Araçlar, operasyonel teknoloji (OT) ağına ilk erişimi sağladıktan sonra etkilenen cihazları taramalarını, tehlikeye atmalarını ve kontrol etmelerini sağlıyor."
Hedef
Tüm ısmarlama kötü amaçlı araçlar, tehdit aktörleri tarafından aşağıdakileri hedeflemek için özel olarak tasarlanmıştır:
- Schneider Electric programlanabilir mantık kontrolörleri (PLC'ler)
- OMRON Sysmac NEX PLC'ler
- Açık Platform İletişimi Birleşik Mimari (OPC UA) sunucuları
Enfeksiyon Zinciri
Buna ek olarak, DOE, NSA, CISA ve FBI'dan araştırmacılar, devlet destekli bilgisayar korsanlarının da aşağıdakileri kullandığını keşfettiler:
- CVE-2020-15368
Bu kusurdan yararlanarak, saldırganların ASRock'tan anakartlara sahip Windows sistemlerini hedef aldıklarına ve onlara kötü amaçlı kod fidye vererek, OT ve BT ortamlarına yanal olarak yayılmalarına ve bunları bozmalarına izin verdiklerine inanılmaktadır.
APT aktörleri, bir OT ortamında ayrıcalıkları yükseltebilir, OT arka plan içinde yanal olarak hareket edebilir ve ICS/SCADA aygıtlarına tam sistem erişimini tehlikeye atarak ve sürdürerek kritik aygıtları veya işlevleri kesintiye uğratabilir.
ICS cihazları Kötü Amaçlı Yazılım Tarafından Hedeflendi
Dahası, dikkate değer olan şey, federal kurumlar tarafından tehdit aktörleri tarafından kullanılan ve danışma belgesinde belirtilen bilgisayar korsanlığı araçları veya kötü amaçlı yazılımlar hakkında daha fazla bilgi verilmemesidir.
Endüstriyel siber güvenlik firması Dragos'un kurucu ortağı ve CEO'su Robert M. Lee şunları söyledi:
"Bu kötü amaçlı araçların 2022'nin başlarında keşfedilmesinden bu yana, şirket bunları PIPEDREAM (aka INCONTROLLER) adı altında izliyor."
Dragos, bu yeni kötü amaçlı yazılımı, CHERNOVITE Activity Group (AG) tarafından geliştirildiği tespit edilen yedinci ICS'ye özgü kötü amaçlı yazılım olarak tanımladı.
PIPEDREAM'den yararlanarak, tehdit aktörleri çeşitli endüstriyel yazılımları ve endüstriyel kontrol PLC'lerini kontrol edebilir ve manipüle edebilir. Ve bunlar arasında, en yaygın olanlardan bazıları şunlardır:
- Omron
- Schneider Electric controllers
Bunların yanı sıra, bir saldırgan PIPEDREAM'i kötüye kullanarak, yaygın olarak kullanılan Endüstriyel İnternet teknolojilerine karşı aşağıdaki gibi saldırılar da gerçekleştirebilir:
- CoDeSyS
- Modbus
- OPC UA
Azaltma
Kritik altyapı kuruluşlarının, özellikle Enerji Sektöründekilerin, federal hükümet kurumları DOE, CISA, NSA ve FBI tarafından sağlanan tespit ve azaltma önerilerini uygulaması çok önemlidir.
Aşağıda, sağlanan tüm azaltmalardan bahsettik:
- Güçlü çevre denetimleri kullanarak, ICS/SCADA ağlarını şirket ağlarından ve internet ağlarından yalıtarak birbirlerine müdahale etmemelerini sağlayın.
- ICS/SCADA çevreleri, kendilerine giren veya çıkan herhangi bir iletişimden korunmalıdır.
- ICS ağlarına ve aygıtlarına tüm uzaktan erişim için her zaman çok faktörlü kimlik doğrulaması kullanın.
- Siber olaylar için bir müdahale planı oluşturun.
- ICS/SCADA aygıtlarının ve sistemlerinin tüm şifrelerini sık sık değiştirin.
- Her zaman karmaşık parolalar kullanın.
- Daha hızlı kurtarma için her zaman çevrimdışı yedeklemeleri saklayın.
- ICS/SCADA sistemlerinin ağ bağlantılarını sınırladığınızdan emin olun.
- Device Guard, Credential Guard ve Hypervisor Code Integrity (HVCI) öğelerini iyi yapılandırdığınızdan emin olun.
- Sistemi ve olay günlüklerini her zaman izleyin.
- Sürekli durum güncellemesi sağlayan bir OT izleme sistemi kullanın.
- Yalnızca sistemin çalışması için gerekli olan uygulamaları yüklediğinizden emin olun.
- En az ayrıcalık ilkesinin uygulandığından emin olun.
- Garip sürücülerin yüklenmesine dikkat edin.
Yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.
Kaynak: Cyber Security News