ICS güvenlik uzmanları, 22 Nisan’da Atlantic Council’in ev sahipliğinde düzenlenen bir panelde, endüstriyel kontrol sistemlerini (ICS) hedefleyen hem Pipedream hem de Incontroller olarak adlandırılan bir kötü amaçlı yazılım çerçevesinin son keşfinin, her şey yolunda gittiğinde neler olabileceğini vurguladığını vurguladı.
Önceki saldırılardan farklı olarak, siber güvenlik uzmanları kötü amaçlı yazılımın bileşenlerini tespit etti, saldırganların tekniklerini araştırdı ve daha dağıtılmadan Pipedream’e karşı savunma oluşturdu. Mevcut durumunda, çerçeve, Schneider Electric ve Omron’dan bazı programlanabilir mantık denetleyicilerini tarayabilen ve bunlarla iletişim kurabilen ve ayrıca OPC Birleşik Mimarisi spesifikasyonuna dayalı birleşik iletişim sunucularını tarayabilen ve profillendirebilen yeteneklere sahiptir.
Operasyonel teknoloji siber güvenlik stratejisti Danielle Jablanski, çerçevede özetlenen uzmanlık ve yetenekler, kaynak olarak bir ulus devlet aktörüne işaret ederek, koordineli soruşturmayı önemli bir kazanç ve siber güvenliğin yatırım getirisi (ROI) için en iyi argüman haline getiriyor, diyor. Nozomi Networks’te ve ABD Savunma Bakanlığı’nın eski danışmanı.
“Terör için asla konuşamayız” [the successes]çünkü sınıflandırılıyorlar” diyor. “Ancak bu, gördüğümüz en iyi potansiyel yatırım getirisi, çünkü [Pipedream] aslında operasyonel hale gelmedi ve şimdi bundan öğrenebiliriz.”
14 Nisan’da, yönetilen müdahale firması Mandiant ve ICS uzmanı Dragos, ICS çerçevesi hakkında kendi adlarını verdikleri ayrı raporlar yayınladılar. kontrolör ve Ulaşılması mümkün olmayan istek, sırasıyla. Siber casusluk ve saldırı çerçevesi, özellikle endüstriyel kontrol sistemlerini hedefleyen yedinci saldırgan aracıdır, ancak ikincisi Nisan ayında açıklanacaktır. 12 Nisan’da siber güvenlik firması ESET, şirketin bir saldırıyı azaltmak için Ukraynalı bir enerji sağlayıcısı ile çalıştığını duyurdu. sanayici 2 önceki ay.
Siber güvenlik uzmanları saldırıları Rusya’ya atfetme konusunda çekingen davransalar da, hedefledikleri ve Rusya’nın Ukrayna’yı işgali arasındaki bağlantılar, ülkenin en olası sponsor olduğunu gösteriyor. Scythe CEO’su ve kurucusu ve bir panelist olan Bryson Bort, ülke kritik altyapıya saldırmakta tereddüt edebilirken, Rusya’nın fidye yazılımı saldırılarını desteklemek konusunda herhangi bir çekincesi olmadığını söylüyor.
“Rusya’nın bize doğrudan saldıracağını düşünmüyorum” [targeting] endüstriyel kontrol sistemleri, çünkü bu onların karşılayamayacakları bir askeri müdahaleye davetiye çıkaracak – zaten ellerinde yeterince var” diyor ve ekliyor: “Fakat özel sektörümüze karşı fidye yazılımlarını güçlendirmemiş olmalarına şaşırdım.”
Panel tartışmasında, Atlantik Konseyi’nin Scowcroft Strateji ve Güvenlik Merkezi’nin bir parçası olan Cyber Statecraft Initiative’de üye olarak görev yapan çeşitli hükümet ve endüstri uzmanları yer aldı.
Saldırganlar için ICS bir Alışveriş Merkezidir
Pipedream ile ilgili endişe, sıfırıncı gün güvenlik açıklarına yönelik istismarlar içermesi değil, araç setinin ortak ICS ortamlarında çalışacak şekilde özel olarak tasarlanmış olmasıdır. Analizler, saldırı çerçevesini oluşturan, Schneider Electric programlanabilir mantık denetleyicilerini (PLC’ler), Omron PLC’leri ve birleşik iletişim sunucularını hedefleyen üç (Mandiant) ila beş (Dragos) bileşeni listeler. Açık Platform İletişimi (OPC) belirtimini kullanarak.
Scythe’s Bort, saldırganların ürünlerdeki güvenlik açıklarından değil, güvenlik sorunlarına yol açan birlikte çalışmadaki sorunlardan yararlandığını söylüyor.
“Bu, mimari ekosistemdeki ve endüstriyel kontrol sistemlerinin tasarımındaki bir güvenlik açığıdır, dönem” diyor. “Bunun gibi saldırılar ülkenin ne kadar düz olduğunu gösteriyor. [network] mimari aslında öyle ve bu gerçekten tasarımdaki gerçek güvenlik açığı ve bu nesiller arası bir sorun – diyebileceğimiz türden bir şey değil, oh, bunu yamalayıp düzelteceğiz – değiştirmeliyiz bu ekipman önümüzdeki 10, 20 ve 30 yıl içinde tükenecek.”
Schneider Electric başkan yardımcısı ve ürün güvenliği sorumlusu ve bir panel üyesi olan Megan Samford, sorunun bir yazılım güvenlik açığı olmadığını vurguladı. Bunun yerine, araç seti belirli satıcılara odaklandı çünkü bu satıcılar muhtemelen hedeflenen ağlarda bulunuyor.
“Bir alışveriş merkezinin inşa edildiğini hayal edebiliyorsanız ve bir Schneider mağazası olduğunu ve bir Omron mağazası olduğunu görebiliyorsanız, ancak muhtemelen inşa edilebilecek 20 mağaza daha var – bu gerçekten böyleydi” diyor. “Yani ürünlerimiz bir zayıflık nedeniyle değil, küresel ölçekten dolayı çerçeve içindeydi ve ürünlerimiz kritik altyapıyı yerel olarak çalıştırıyor ve destekliyor.”
Jeopolitik Etkiler
Şu anda endüstriyel kontrol sistemlerini hedef almış bilinen yedi saldırgan çerçevesi vardır: Stuxnet, Havex, Black Energy 2, Industroyer/CrashOverride, HatMan/Triton/Trisys, Industroyer 2 ve Pipedream/Incontroller. Stuxnet ortak bir ABD-İsrail çabasına atfedilirken, diğer altı çerçevenin tümü de değişen derecelerde Rusya’nın çabalarıyla ilişkilendirildi.
Nozomi Networks’ten Jablanski, “Artık kesin olarak bildiğimiz şey, hasımlarımızın ödevlerini yaptıklarıdır” diyor. “OT ve ICS’de bahsettiğimiz donanım ve yazılımı hedef alan yedi odaklı, teknolojiye özgü olay var … ancak bu, endüstriyel operasyonlara bakan tüm aktörleri kapsamıyor.”
Uzmanlar, ABD ve Rusya’ya ek olarak Çin’in de endüstriyel kontrol sistemlerini hedef alan araçlara sahip olduğunu biliyor.