ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), bu hafta NSA, FBI ve diğerleri ile birlikte kritik altyapı kuruluşlarını – özellikle enerji sektöründe – hedef almak ve bozmak için tasarlanmış bir dizi son derece karmaşık siber saldırı aracına karşı savunma uygulamaya çağırdı. endüstriyel ortamlar.
Uyarı, özellikle Schneider Electric ve Omron’dan programlanabilir mantık denetleyicileri (PLC’ler) kullanan ICS ve OT ağları ve Açık Platform İletişimleri Birleşik Mimarisi (OPC UA) tabanlı sunucular için geçerlidir. Öneri, bu teknolojileri hedeflemek ve bunları tehlikeli ve potansiyel olarak yıkıcı şekillerde manipüle etmek için özel olarak oluşturulmuş üç kötü amaçlı yazılım aracının yakın zamanda keşfedilmesiyle başlatıldı. Ancak kötü amaçlı yazılım, diğer ICS teknolojilerine saldırmak için de uyarlanabilir.
CISA’nın tavsiyesi şunları içeriyordu: bir dizi etki azaltma önlemi kuruluşların yeni tehdide maruz kalmayı azaltmak için proaktif olarak uygulamalarını tavsiye ettiğini söyledi.
Mandiant, yakın zamanda Schneider ile ortaklaşa yeni saldırı araçlarını analiz etti ve bunları INCONTROLLER adı altında toplu olarak takip ediyor. Bu haftaki bir raporda, güvenlik sağlayıcısı kötü amaçlı yazılımı “son derece nadir ve tehlikeliMandiant, INCONTROLLER’ı 2010 yılında İran’daki bir nükleer zenginleştirme tesisinde yüzlerce santrifüjü yok etmek için kullanılan Stuxnet ve Industroyer gibi önceki ICS’ye özgü tehditlerle karşılaştırdı. 2016 yılında Ukrayna’da elektrik kesintisine neden oldu.
Rusya Devlet Sponsorlu Bir Grubun Çalışması mı?
Endüstri Direktörü Rob Caldwell, “Kötü amaçlı yazılımın karmaşıklığı, onu oluşturmak için gereken uzmanlık ve kaynaklar ve finansal olarak motive edilmiş operasyonlardaki sınırlı faydası göz önüne alındığında, INCONTROLLER’ın büyük olasılıkla devlet destekli bir grupla bağlantılı olduğuna inanıyoruz” diyor. Mandiant’ta kontrol sistemleri ve işletim teknolojisi. Mandiant’ın kötü amaçlı yazılımı daha önce izlenen herhangi bir grupla ilişkilendiremediğini, ancak arkasındakilerin büyük olasılıkla Rusya bağlantılı olduğuna inandığını söylüyor. “INCONTROLLER’ı Rusya’ya bağlayan kanıtlarımız büyük ölçüde ikinci dereceden olsa da, Rusya’nın yıkıcı siber saldırı geçmişi, mevcut Ukrayna işgali ve Avrupa ve Kuzey Amerika’ya yönelik ilgili tehditler göz önüne alındığında bunu not ediyoruz.”
Mandiant, saldırı araçlarından birini, OPC ortamlarını taramak, OPC sunucularını sıralamak, onlardan veri toplamak ve kimlik bilgilerini kaba zorlamak için bir araç olan “Tagrun” olarak tanımladı. Güvenlik sağlayıcısı, aracı muhtemelen endüstriyel ağlarda keşif yapmak için kullanılmış olarak tanımladı. Mandiant, ikinci aracı, en az üç Schneider PLC ile iletişim kurmak ve etkileşim kurmak için iki ortak endüstriyel protokolü (Modbus ve Codesys) kullanan bir çerçeve olarak tanımladığı “Codecall” olarak adlandırdı. Kötü amaçlı yazılım, bir ağdaki Schneider ve diğer Modbus özellikli cihazları tanımlayabilir ve iki protokolü kullanarak bunlara bağlanabilir. Üçüncü araç olan “Omshell”, HTTP, Telnet ve tescilli bir Omron protokolü aracılığıyla Omron PLC’leri hedefler. Endüstriyel uygulamalarda kullanılan servo motorların güvenli çalışmasını izlemek için Omron cihazlarındaki bir mekanizma ile etkileşime girecek şekilde tasarlanmıştır. Kötü amaçlı yazılım, Omron PLC’lere kabuk erişimi sağlayabilir ve cihaz belleğini silme, bir cihazı sıfırlama, yedek verileri yükleme ve üzerinde rastgele kod yürütme gibi çeşitli kötü amaçlı eylemler gerçekleştirebilir.
Toplu olarak kötü amaçlı yazılım araçları, saldırganların hedef endüstriyel ortamlardan veri toplamasına ve daha sonra yüksek değerli sistemleri belirlemek ve endüstriyel ortamlarda bunlara karşı potansiyel olarak yıkıcı saldırılar başlatmak için kullanabilecekleri verileri toplamasına olanak tanıyan yeteneklere sahiptir. Potansiyel saldırı senaryoları, hedeflenen PLC’leri çökertmek ve operasyonları kesintiye uğratmak için Omshell ve/veya Codecall kullanan tehdit aktörlerini; endüstriyel süreçleri sabote etmek için PLC’lere kötü niyetli komutlar göndermek; veya bir tesiste veya endüstriyel ortamda fiziksel tahribata neden olmak için güvenlik kontrolörlerini devre dışı bırakmak.
Caldwell, “INCONTROLLER’ın bileşenleri, hedeflenen cihazlarla etkileşime girmek ve bunlara saldırmak veya bunları değiştirmek için önceki ICS’ye özgü kötü amaçlı yazılımlarda görülenden daha karmaşık yöntemler içeriyor” diyor. Bu bileşenler, hedeflenen ICS protokolleri hakkında çok az ayrıntılı bilgiye sahip saldırganlar için PLC cihazlarıyla etkileşimi kolaylaştırmak üzere tasarlanmıştır. “Ayrıca, bu bileşenler modülerdir ve ek cihazları hedeflemek veya ek yetenekler eklemek için genişletilebilir” diyor.
Mandiant, INCONTROLLER etkinliğiyle ilgili gibi görünen Windows tabanlı sistemleri hedef alan diğer iki aracı da izlediğini söyledi. Bunlardan biri bilinen bir güvenlik açığından yararlanıyor, CVE-2020-15368, güvenlik açığı bulunan bir sürücüyü hedef sistemlere kurmak ve bunlardan yararlanmak için, diğeri ise keşif faaliyetine olanak sağlayan bir arka kapıdır. Mandiant, araçların bir tehdit aktörünün endüstriyel bir siber saldırıda daha geniş hedeflerini desteklemek için kullanılabileceğini söyledi.
Endüstriyel Ortamlar İçin Açık ve Mevcut Bir Tehlike
ICS güvenlik sağlayıcısı Dragos, Omron ve Schneider’e ait toplam 16 cihaz ve yazılım aracını listeledi ve kötü amaçlı yazılımın etkileşimde bulunmak ve bunlardan yararlanmak için tasarlandığını söyledi. Teknolojiler, çok çeşitli endüstri dikeylerinde kullanılmaktadır. Ancak Dragos, kötü amaçlı yazılım analizinin kötü amaçlı olduğunu gösterdiğini söyledi. çoğunlukla sıvılaştırılmış doğal gazdaki (LNG) ekipmanlara yöneliktir ve elektrik güç ortamları.
Dragos toplu olarak saldırı araçlarını “PIPEDREAM”, arkasındaki tehdit aktörlerini ise “CHERNOVITE” olarak takip ediyor. Şirketin bu hafta tehditle ilgili yayınladığı bir teknik incelemede, tehdit aktörünün – diğer şeylerin yanı sıra – Omron servo motorlarının torkunu ve hızını, can kaybına neden olacak yeterli fiziksel yıkıma neden olabilecek şekilde manipüle etme yeteneğine sahip olduğu belirlendi. Dragos’un teknik incelemesi, ICS operatörleri için kontrol reddini ve görüntüleme reddini tetiklemek de dahil olmak üzere, tehdit aktörlerinin kötü amaçlı yazılımı kullanabileceği diğer birkaç kötü amaçlı eylemi listeledi; güvenilir bir süreç gibi görünerek işletim teknolojisini bozmak; bir olaydan kurtarma süresini uzatmak için süreç denetleyicilerini devre dışı bırakmak; ve OT ortamlarında kimlik doğrulama ve şifreleme mekanizmalarını zayıflatmak.
“PİPEDREAM bir açık ve mevcut tehdit Dragos, endüstriyel kontrol sistemlerinin ve operasyonları ve yaşamları tehlikeye atan süreçlerin mevcudiyeti, kontrolü ve güvenliğine “dedi.
Kötü amaçlı yazılım araçlarıyla ilgili haberler, Ukrayna’nın bilgisayar acil durum müdahale ekibinin (CERT-UA), Rusya’nın Sandworm grubunun, özellikle elektrik şebekesini hedef alan bilinen ilk kötü amaçlı yazılım araçlarından biri olan Industroyer’ı kullanarak ülkenin elektrik şebekesini bozma çabasını engellediği raporlarından sadece birkaç gün sonra geldi. . Şimdiye kadar araştırmacılar, Stuxnet, Industroyer, Triton ve BlackEnergy’yi içeren en az yedi son derece gelişmiş ICS’ye özgü saldırı aracı keşfettiler.
Nozomi Networks’te OT siber güvenlik stratejisti Danielle Jablanski, bu durumdaki birleşik araçların belirli cihazları aramak, operasyonel parametrelerini anlamak, yetkilendirilmiş erişim elde etmek ve cihazların çeşitli meşru işlevlerini amaçları doğrultusunda uzaktan kontrol etmek için oluşturulduğunu söylüyor. . “Bunlar, hedeflenen cihazlara göre özelleştirilebilir, ancak aynı protokollerden yararlanan ek cihazları hedef alacak şekilde değiştirilebilir” diyor.
Jablanski, tehdit aktörlerinin kimlik bilgilerine sahip olduklarında ve tasarımlarına, protokollerine ve özelliklerine göre cihazları nasıl kullanacaklarını bildiklerinde saldırıları engelleme seçeneklerinin azaldığını söylüyor.
Yeni keşfedilen araçların hangi ana bilgisayar ortamında bulunduğu şu anda belirsiz. Ancak tipik olarak, tehdide maruz kalmayı azaltmak için bazı geçici önlemler arasında gereksiz işlevlerin devre dışı bırakılması, cihazla iletişim kuran meşru kullanıcıları sınırlamak için erişim kontrollerinin getirilmesi ve parola yönetiminin ciddiye alınması yer alır. “Siber olayların duyarlılığını ve ciddiyetini sınırlamak için cihaz sertleştirme, ICS/OT ortamlarında derinlemesine savunma stratejilerinin temelini oluşturuyor” diyor.
aDolus Technology CEO’su Eric Byres, yeni araçların, tehdit aktörlerinin BT ağından sıçrayarak bir OT ortamına eriştiği önceki saldırılardan uzak yeni bir eğilimi vurguladığını söylüyor. Bu tür saldırılar, birçok kuruluşun OT güvenliğini sıkılaştırmasıyla daha az yaygın hale geldi. Bu nedenle, karmaşık saldırganlar kurbanlarının OT ağlarına erişim sağlamanın başka yollarını buluyorlar, diyor Stuxnet’i örnek olarak göstererek.
“Stuxnet bunu virüslü USB flash sürücüler, yazıcı paylaşımı ve değiştirilmiş PLC mantık dosyalarının bir kombinasyonu aracılığıyla yaptı” diyor. Benzer şekilde, Rus kökenli Dragonfly, OT kontrol ekipmanı üreticilerine saldırdı ve endüstriyel müşterilerine sağladıkları yazılımları truva atlı versiyonlarıyla değiştirdi.
Byres, “Bu tedarik zinciri odaklı saldırılar, artık ulus devlet saldırganları, özellikle de Rus casus ajansları için tercih edilen yöntem haline geliyor” diyor. “Doğrudan OT sistemleri yerine OT tedarikçilerinin peşine düşerek, muazzam çarpma etkileri elde ediyorlar.”