2017’de Suudi Arabistan’daki bir petrol rafinerisine saldırdığı iddiasıyla bir Rus vatandaşına karşı bu hafta açılan 2021 tarihli bir iddianame, devlet destekli aktörlerin hedef ağları ve sistemleri ihlal etmek için kullanabilecekleri metodik – ve bazen ürpertici – titizliğe bir bakış sağladı.
İddianamede yer alan ayrıntılar, aktörlerin OT ağlarına ve iş açısından kritik endüstriyel kontrol sistemi ortamlarına girmek için bir kuruluşun BT ağındaki erişimlerinden nasıl yararlanabileceklerini de gösterdi.
ABD hükümeti Perşembe günü, Suudi Arabistan’daki bir petrol rafinerisinin iki kez acil olarak kapatılmasını tetikleyen 2017 saldırısındaki rolleri nedeniyle Rus uyruklu Evgeny Viktorovich Gladkikh ve adı açıklanmayan yardımcı komploculara yönelik üç sayılık iddianameyi açıkladı. Gladkikh ve ortakları, enerji tesisine fiziksel zarar vermeye çalışmak ve sahadaki kritik güvenlik ekipmanlarını kontrol eden sistemlere kasıtlı olarak zarar vermekle suçlanıyor. İddianame, ABD hükümetinin bu hafta açıkladığı iki iddiadan biriydi. İkincisi, enerji sektöründeki kuruluşlara karşı uzun süredir devam eden bir dizi siber saldırının arkasında olduğu iddia edilen üç Rus Federal Güvenlik Servisi yetkilisini içeriyordu.
Gladkikh’in saldırıları, bazılarının Triton ve diğerlerinin Trisis olarak adlandırdığı kötü amaçlı yazılımların kullanımını içerdiğinden, özellikle endüstriyel bir tesiste feci hasara neden olmak üzere tasarlanmış oldukları için büyük ilgi topladı. Kötü amaçlı yazılım, tesisin o sırada yanık yönetimi ve kükürt geri kazanımı gibi görevlerden sorumlu sistemleri izlemek için kullandığı Schneider Electric’ten Triconex adlı bir güvenlik enstrümantasyon sisteminin (SIS) belirli modellerini hedef aldı. Bu sistemlerin arızalanması, patlamalara ve tesiste zehirli gazların salınmasına neden olabilirdi.
Ayrıntılar iddianame Gladkikh ve ortaklarının – Rusya Savunma Bakanlığı ile bağlantılı bir ekipten gelen kaynakları kullanarak – Triton’u tesisin Triconex sistemlerine yerleştirmeye çalışmak için petrol rafinerisindeki sistemleri sistematik olarak hedef aldıklarını gösteriyor. Dört aylık kampanya, Gladkikh’in enerji şirketinin BT ağına ilk erişimini kazandığı Mayıs 2017’de başladı. İddianamede, bu ilk dayanağı nasıl elde etmiş olabileceğine dair ayrıntılı bilgi verilmedi.
Ardından ortaklarıyla birlikte, sistemlere yetkisiz erişimi engellemek için tasarlanmış siber güvenlik kontrollerini devre dışı bırakmaya çalışırken, Triconex sistemlerinde sistematik olarak teknik günlük dosyaları toplamaya başladı.
Gladkikh, Triconex ortamına alışma çabasının bir parçası olarak, rafinerinin veri tarihçisi sunucularında depolanan sistemlerdeki geçmiş günlük verilerine erişti. Bunlar sistemler oradan veri toplamaktan, depolamaktan ve günlüğe kaydetmekten sorumlu olan bir kuruluşun kontrol sistemi ortamına bağlı. Daha sonra tarihçi sunucusunu – ve çalınan kimlik bilgilerini – rafinerinin dağıtılmış kontrol sistemi ortamının bir parçası olan ve genellikle bir kuruluşun BT ve OT ortamı arasında bir köprü görevi gören bir mühendislik iş istasyonuna uzaktan erişmek için bir ağ geçidi olarak kullandı.
Bu durumda, Gladkikh ve ortaklarının girdiği iş istasyonu, Suudi enerji şirketinin Triconex güvenlik enstrümantasyon sistemlerine bağlandı.
Kapsamlı Keşif
Ardından, sürekli erişimi sağlamak için iş istasyonuna bir arka kapı kurmaya başladı ve bir kez daha sistemli bir şekilde sistemin bağlı Triconex sistemleriyle iletişim kurmak için kullandığı protokolleri anlamaya çalıştı. Bu süreçte, Gladkikh ve suç ortakları, bazı Triconex sistemlerinin, cihazlara yeni kodun girilebilmesi için fiziksel bir anahtarın bir “program” moduna dönüştürülmesini gerektirecek şekilde yapılandırıldığını keşfetti. Ancak bazı sistemler – kaç tane olduğu belli değil – program modunda çalışıyor.
Gladkikh, kükürt geri kazanımı ve yanma yönetimi gibi sistem işleme görevlerine bağlı bu cihazlardan birini buldu ve üzerine Triton’un erken bir sürümünü yüklemeye başladı. Ancak SIS’deki güvenlik kontrolleri kötü niyetli kodu hızla yakaladı ve dakikalar içinde petrol rafinerisinin acil olarak kapatılmasını başlattı.
Birkaç hafta sonra, Gladkikh ve komplocuları, tarihçi sunucusuna kimlik bilgisi toplayan kötü amaçlı yazılım yüklediler ve daha sonra, yine program modunda çalışacak şekilde ayarlanmış başka bir Triconex SIS’ye Triton’un güncellenmiş bir sürümünü yüklediler. Bu seferki kötü amaçlı yazılım, belirli Triconex cihazları modelinde çalışacak şekilde özel olarak tasarlanmış ve özelleştirilmişti ve birkaç saat içinde kendisini diğer Triconex cihazlarına kopyalamıştı. Ancak ilk defa olduğu gibi, bir Triconex güvenlik özelliği bir şeylerin yanlış olduğunu fark etti ve rafinerinin ikinci bir acil durum kapatmasını tetikledi.
Saldırgan ısrarının biraz ürpertici bir göstergesi olarak, Gladkikh birkaç hafta sonra enerji şirketinin BT ağına geri döndü ve bu sefer iş kayıtlarını içeren bir dosya sunucusuna girdi. Amaç, rafinerinin acil durum kapatmasına nasıl tepki verdiği hakkında bilgi bulmaktı, muhtemelen bu bilgiyi bir dahaki sefere kurtarmayı zorlaştırmak için kullanabilirdi.
ABD iddianamesi, Gladkikh’in kötü amaçlı yazılımının acil durum kapatmalarını tetiklemesine karşın, asıl amacının tesise büyük zarar vermek olduğunu iddia etti. İddianamede, Rus operatör ve ortaklarının, Suudi fabrikasının güvenlik kapatma prosedürlerini feci fabrika arızasına neden olacak şekilde devre dışı bırakmak veya bozmak için bilgi edindiği iddia edildi.