ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı’na (CISA) göre, bilgisayar korsanları bir dizi endüstriyel kontrol sistemine (ICS) ve kontrol cihazlarına ve veri toplamaya (SCADA) tam erişim sağlamak için özel araçlar geliştirdiler.
Bu uyarı bir ortak siber güvenlik uyarısı ABD Enerji Bakanlığı (DOE), CISA, NSA ve FBI tarafından yayınlanan ve tüm kritik altyapı operatörlerini ICS/SCADA cihazlarının ve ağlarının güvenliğini bir an önce artırmaya çağırıyor.
Kötü amaçlı yazılım, Schneider Electric ve OMRON Sysmac NEX’in programlanabilir mantık denetleyicilerini (PLC’ler) ve ayrıca OPC UA (Açık Platform İletişimleri Birleşik Mimarisi) sunucularını hedef almak için geliştirildi.
CISA’ya göre bu araçlar, hedeflenen cihazlara karşı “yüksek düzeyde otomatikleştirilmiş istismarlar” oluşturabilir.
Kötü amaçlı yazılımı inceleyen güvenlik firması ICS Dragos, Stuxnet, Havex, BlackEnergy, Crashoverride ve Trisis’ten sonra özellikle ICS’yi hedef alan bilinen yedinci kötü amaçlı yazılım örneği olan Pipedream olarak adlandırdı. Kötü amaçlı yazılımı Chevronite adlı gelişmiş bir kalıcı tehdit (APT) aktörüne bağlıyor.
“Pipedream, hedeflere ve çevreye bağlı olarak bir düşmanın kesintiye, bozulmaya ve hatta yıkıma neden olmak için kullanabileceği modüler bir ICS saldırı çerçevesidir” diye açıklıyor. Dragolar.
Mandiant bu kötü amaçlı yazılımı INCONTROLLER olarak adlandırır. 2022’nin başlarında Mandiant, bu kötü amaçlı yazılımı analiz etmek için Schneider Electric ile birlikte çalıştı.
Grup, bir hedefin endüstriyel ağında bir yer edindikten sonra ICS cihazlarını bozabilir. CISA’ya göre saldırganlar, ASRock anakart sürücülerinde bilinen güvenlik açıklarından yararlanma yoluyla mühendisler tarafından kullanılan Windows iş istasyonlarının güvenliğini de tehlikeye atabilir.
Bilinen bir ASRock güvenlik açığı şu şekilde listelenmiştir: CVE-2020-15368 ve AsrDrv103.sys dosyasını etkiler. İkincisinin istismarı, Windows çekirdeğinde anti-virüs korumalarını atlayan kötü amaçlı kod yürütmek için kullanılabilir.
Ajanslar, özellikle enerji sektöründeki kuruluşların, uyarıda ayrıntıları verilen tespitleri ve azaltma önlemlerini uygulaması gerektiğini vurguluyor.
APT aktörleri, ICS/SCADA cihazlarına tam sistem erişimini tehlikeye atarak ve sürdürerek ayrıcalıklarını yükseltebilir, endüstriyel bir ortamda yanal olarak hareket edebilir ve kritik cihazları veya işlevleri bozabilir.” CISA’yı not eder.
APT grubu tarafından hedeflendiği bilinen cihazlar şunları içerir:
- TM251, TM241, M258, M238, LMC058 ve LMC078 dahil (ancak bunlarla sınırlı olmamak üzere) Schneider Electric MODICON ve MODICON Nano PLC’ler;
- NEX NX1P2, NX-SL3300, NX-ECC203, NJ501-1300, S8VK ve R88D-1SN10F-ECT dahil (ancak bunlarla sınırlı olmamak üzere) OMRON Sysmac NJ ve NX PLC’ler;
- OPC Birleşik Mimari (OPC UA) sunucuları.
Schneider Elektrik güvenlik bülteninde not kötü amaçlı yazılımın herhangi bir onaylanmış veya potansiyel kullanımından haberdar olmadığını, ancak “çerçevenin bozulma, sabotaj ve potansiyel olarak fiziksel imha ile ilgili yeteneklere sahip olduğunu” açıklıyor.
Ajanslar, kurumları “sıkı çevre kontrolleri kullanarak ICS/SCADA sistemlerini ve ağlarını kurumsal ağlardan ve internetten izole etmeye ve ICS/SCADA çevrelerine giren ve çıkan tüm iletişimi sınırlamaya” teşvik ediyor.
Ayrıca, ICS ağlarına ve cihazlarına uzaktan erişim için çok faktörlü kimlik doğrulamanın kullanılmasını, bunlar için tüm parolaların düzenli olarak değiştirilmesini ve tüm varsayılan parolaların kaldırılmasını önerirler.
Kaynak : ZDNet.com