Endüstriyel sektörlerde APT saldırılarını tetikleyen faktörler belirlendi
Olay incelemeleri sırasında Kaspersky uzmanları, Operasyonel Teknoloji (OT) ağını ayrı ve güvenli tutma konusunda sorunlar yaÅŸandığına tanık oldu. ÖrneÄŸin hem normal BT ağına hem de OT ağına baÄŸlı mühendislik iÅŸ istasyonları gibi makineler var.
Kaspersky Endüstriyel Kontrol Sistemleri Siber Acil Durum Müdahale Ekibi BaÅŸkanı Evgeny Goncharov, "OT ağının izolasyonunun yalnızca aÄŸ ekipmanının yapılandırmasına baÄŸlı olduÄŸu durumlarda, deneyimli saldırganlar bu ekipmanı her zaman kendi avantajlarına göre yeniden yapılandırabiliyor. ÖrneÄŸin kötü amaçlı yazılım trafiÄŸini kontrol etmek için proxy sunucularına dönüÅŸtürülebilir veya izole edildiÄŸine inanılan aÄŸlara kötü amaçlı yazılım depolamak ve dağıtmak için kullanabilir. Bu tür kötü niyetli faaliyetlere birçok kez tanık olduk" dedi.
Ä°nsan faktörü siber suç faaliyetlerinin itici gücü olmaya devam ediyor
Çalışanlara veya sözleÅŸmelilere OT aÄŸlarına eriÅŸim izni verirken, bilgi güvenliÄŸi önlemleri genellikle göz ardı ediliyor. BaÅŸlangıçta geçici olarak kurulan TeamViewer veya Anydesk gibi uzaktan yönetim araçları fark edilmeden aktif kalabiliyor. Ancak bu kanalların saldırganlar tarafından kolayca istismar edilebileceÄŸini unutmamak önemli. Kaspersky, 2023 yılında bir sözleÅŸmeli çalışanın birkaç yıl önce kendisine yasal olarak verilen ICS ağı uzaktan eriÅŸiminden yararlanarak sabotaj giriÅŸiminde bulunduÄŸu bir olayı araÅŸtırdı.
Bu hikaye insan faktörünü göz önünde bulundurmanın önemini ortaya koyuyor. Zira potansiyel olarak mutsuz çalışanlar iÅŸe dair sorunlar, gelirden memnuniyetsizlik veya siyasi motivasyonlar nedeniyle siber suç eylemlerinde bulunabiliyor. Böyle bir durumda olası bir çözüm sıfır güven yaklaşımı olabilir. Bu sistem içindeki kullanıcıya, cihaza ve uygulamaya güvenilmediÄŸini varsayan bir kavramdır. DiÄŸer sıfır güven çözümlerinden farklı olarak Kaspersky, sıfır güven yaklaşımını KasperskyOS tabanlı çözümleriyle iÅŸletim sistemi seviyesine kadar geniÅŸletiyor.
OT varlıklarının yetersiz korunması
Olay analizi sırasında Kaspersky uzmanları, kötü amaçlı yazılımların yayılmasına katkıda bulunan eski güvenlik çözümü veritabanları, eksik lisans anahtarları, kullanıcı tarafından baÅŸlatılan anahtar kaldırma iÅŸlemleri, devre dışı bırakılmış güvenlik bileÅŸenleri ve tarama ve korumaya dair istisnalar tespit etti. ÖrneÄŸin veritabanlarınız güncel deÄŸilse ve bir güvenlik çözümü otomatik olarak güncellenemiyorsa, sofistike tehdit aktörlerinin tespit edilmekten kaçınmaya çalıştığı APT saldırılarında olduÄŸu gibi geliÅŸmiÅŸ tehditlerin hızlı ve kolay bir ÅŸekilde yayılmasına izin verebilir.
Güvenlik çözümlerinin güvensiz konfigürasyonları
Bir güvenlik çözümünün uygun ÅŸekilde yapılandırılması, APT grupları/aktörleri tarafından sıklıkla kullanılan bir taktik olan güvenlik çözümlerinin devre dışı bırakılmasını ve hatta kötüye kullanılmasını önlemek adına çok önemli. Aksi halde saldırganlar sistemin diÄŸer bölümlerine girmek için güvenlik çözümünde depolanan aÄŸ bilgilerini çalabilir veya profesyonel bilgi güvenliÄŸi dilini kullanarak yanal hareket gerçekleÅŸtirebilir.
Kaspersky ICS CERT, 2022'de APT taktiklerinde uygun yapılandırmaları daha da hayati hale getiren yeni bir eÄŸilim fark etti. ÖrneÄŸin saldırganlar yanal hareket etmenin yollarını ararken artık etki alanı denetleyicisi gibi kritik BT sistemlerini ele geçirmekle yetinmiyor. Bir sonraki hedefe, yani güvenlik çözümlerinin yönetim sunucularına yöneliyorlar. Hedefler kötü amaçlı yazılımı kontrol edilmeyecek programlar listesine koymaktan, virüslü aÄŸdan tamamen ayrı olması gereken sistemlere bulaÅŸmak için güvenlik sistemindeki araçları kullanmaya kadar deÄŸiÅŸebiliyor.
OT aÄŸlarında siber güvenlik korumasının olmaması
Ä°nanması zor olabilir ancak bazı OT aÄŸlarında siber güvenlik çözümleri birçok uç noktaya hiç yüklenmiyor. OT ağı diÄŸer aÄŸlardan tamamen ayrılmış ve internete baÄŸlı olmasa bile, saldırganların hala bu aÄŸa eriÅŸim saÄŸlama yolları olduÄŸunu unutmamak gerekiyor. ÖrneÄŸin USB'ler gibi çıkarılabilir sürücüler aracılığıyla dağıtılan kötü amaçlı yazılımların özel sürümlerini oluÅŸturarak bu sistemlere sızma giriÅŸiminde bulunmak mümkün.
Ä°ÅŸ istasyonları ve sunucuların güvenlik güncellemelerine dair zorlukları
Endüstriyel kontrol sistemleri, iÅŸ istasyonları ve sunuculara güvenlik güncellemeleri yüklemek gibi basit görevlerin bile dikkatli bir ÅŸekilde test edilmesini gerektiren benzersiz bir çalışma ÅŸekline sahiptir. Bu test genellikle planlı bakım sırasında gerçekleÅŸir ve güncellemelerin seyrek olmasına neden olur. Bu da tehdit aktörlerine bilinen zayıflıklardan faydalanmak ve saldırılarını gerçekleÅŸtirmek için bolca zaman verir.
Goncharov, şunları ekliyor:
"Bazı durumlarda, sunucu iÅŸletim sisteminin güncellenmesi özel bir yazılımın (SCADA sunucusu gibi) güncellenmesini gerektirebilir. Bu da ekipmanın terfisini gerektirir ve bunların hepsi çok pahalı olabilir. Sonuç olarak endüstriyel kontrol sistemi aÄŸlarında eski sistemler yer alıyor. Åžaşırtıcı bir ÅŸekilde, endüstriyel iÅŸletmelerde güncellenmesi nispeten kolay olabilen internete dönük sistemler bile uzun süre savunmasız kalabiliyor. Bu durum gerçek dünyadaki saldırı senaryolarının da gösterdiÄŸi üzere, operasyonel teknolojiyi (OT) saldırılara ve ciddi risklere maruz bırakıyor."
Hibya Haber Ajansı
