kısmı Çin’deki Volt Tayfunu Kritik altyapıdaki operasyonel teknoloji (OT) ağlarına sızmaya odaklanan gelişmiş kalıcı tehdit (APT), halihazırda ABD merkezli çok sayıda elektrik şirketinin keşif ve sayımını gerçekleştirirken aynı zamanda Afrika ülkelerindeki elektrik iletim ve dağıtım kuruluşlarını da hedef alıyor.
Bu, “Voltzite” olarak adlandırdığı OT tehdidinin elektrik sektörü hedeflerinde fiziksel endüstriyel kontrol sistemlerinin (ICS’ler) tehlikeye atılmasının “kapısını çaldığını” tespit eden OT güvenlik uzmanı Dragos’a göre böyle. saldırılar OT ayak izine bağlanan BT ağlarıyla sınırlıydı.
Bulgular, ABD hükümetinin devlet destekli tehdidin son zamanlarda gerçekleştiği yönündeki açıklamalarını doğruluyor. kaos ekebilmek için kendini önceden konumlandırıyor ve ülke içindeki elektrik şebekesini kesintiye uğratmak askeri çatışma durumunda.
Dragos’un kurucusu ve CEO’su Robert M. Lee, bu hafta bir medya yuvarlak masa toplantısında şunları söyledi: “Volt Typhoon’a baktığımızda, A oyunculu bir takım, stratejik bir rakip, iyi kaynaklara sahip ve çok bilgili bir takım.” dedi. “Ve takip ettiğimiz şeye, yani Voltzite’e baktığımızda, bu OT kısmı ve OT odağıdır [of that group]. ABD hükümetinin Volt Typhoon’a odaklandığını ve stratejik elektrik sahalarını hedeflediğini doğrulayabiliriz.”
Örnek Olay: Volt Typhoon Orta Ölçekli Enerji Şirketinde Gizleniyor
Dragos’un araştırdığı bir vakada, Lee’ye göre Voltzite ABD’deki orta ölçekli bir elektrik kuruluşunun güvenliğini tehlikeye attı ve “300 günden fazla” gizli kalmayı başardı.
“Düşmanın kurumsal BT ağına dahil olmasına rağmen açıkça oradaki OT ağına girmeye çalıştığı çok açıktı” diye açıkladı. “Kapıyı çalıyorlardı, enerji operasyon ağlarına açıkça girmek için beklediğiniz her şeyi yapıyorlardı.”
Daha ileri analizler, APT’nin fiziksel kontrol sistemlerine geçme çabalarına yardımcı olabilecek verileri aradığını gösterdi.
Lee, “Çok sayıda OT’ye özgü veri ve içgörüyü, SCADA ile ilgili bilgileri ve GIS ile ilgili bilgileri ve gelecekteki yıkıcı saldırılarda faydalı olabilecek şeyleri çaldıklarını doğrulayabilirim” dedi. “Voltzite’ın özellikle kilit hedefleri ve çaldıkları şeylere dayanarak gelecekte iktidarı nasıl devirebileceklerini düşündüğü açıktı.”
Tehdidin kontrol altında tutulmasına yardımcı olmak için Lee, firmanın olay müdahalesinden elde edilen tehdit istihbaratı bulgularını paketlediğini ve bunları federal hükümetin yanı sıra diğer potansiyel Voltzite hedefleriyle paylaştığını söyledi.
Volt Typhoon Etkinliği Genişletiyor
Olduğundan beri Mayıs 2023’te halka açıklandıVolt Typhoon’un (diğer adıyla Bronze Silhouette, Vanguard Panda ve UNC3236) ABD’nin Guam bölgesini, telekom sağlayıcılarını, askeri üsleri ve Amerika Birleşik Devletleri acil durum yönetimi organizasyonudiğerleri arasında.
Dragos’un kendi soruşturması kanıtları ortaya çıkardı Volt Typhoon genişletmesive Voltzite’ın özellikle ABD enerji şirketleri ve Afrika’daki bazı hedefler arasında geniş bir ağ oluşturmakla kalmayıp, aynı zamanda Volexity tarafından izlenen ve istismar eden bir tehdit faaliyeti kümesi olan UTA0178 ile örtüştüğü de belirtiliyor. Ivanti VPN sıfır gün güvenlik açıkları Aralık ayında ICS hedeflerinde.
Ayrıca, geçen ay Dragos, ABD’li bir telekomünikasyon sağlayıcısının harici ağ geçitlerinde kapsamlı bir keşif yaptığını keşfetti ve Voltzite’ın büyük bir ABD şehrinin acil durum hizmetleri coğrafi bilgi sistemleri (GIS) ağını tehlikeye attığına dair kanıtlar buldu.
Lee, “Bizi ilgilendiren şey sadece kesintiye yol açacak çok özel yetenekler kullanmış olmaları değil” dedi. “Endişe, uydu, telekomünikasyon ve elektrik enerjisi üretimi, iletimi ve dağıtımında seçtikleri hedeflerin, çevrimdışına alınmaları halinde Amerikalıların hayatlarına en fazla zarar verme yetenekleri nedeniyle özenle seçilmiş olmalarıdır.”
Voltzite’ın Gizli Siber Saldırı Taktikleri
Dragos araştırması, Voltzite’ın bir ağa girdikten sonra kimlik bilgilerine erişim ve yanal hareket için çeşitli teknikler kullandığını gösterdi. Daha geniş kapsamlı Volt Typhoon tehdidi gibi bunun da ayırt edici özelliği, meşru araçlar ve arazide yaşamak (LotL) imza tespitini önlemek için.
Taktiklerden biri, CSV dosya biçimini kullanarak Active Directory Etki Alanı Hizmetleri’nden verileri içe ve dışa aktarmak için kullanılan yerel bir Windows ikili programı olan csvde.exe’nin kullanımını içerir. Diğer durumlarda, Birim Gölge Kopyalarını (yani Windows işletim sisteminin yedek olarak kullanılabilecek klonlanmış görüntüleri) ve kullanıcı hesaplarını, gruplarını, kullanıcı hesaplarını numaralandıran NTDS.dit Active Directory veritabanının bir etki alanı denetleyicisinden çıkarılmasını kullanır. ve bilgisayarlardır ve en önemlisi kullanıcı şifrelerinin karmalarını içerir.
Kaynak: Dragos
Dragos’un gelecek hafta yayınlanacak olan yıllık OT tehdit raporuna göre, “Normal koşullar altında NTDS.dit dosyası, makinedeki Active Directory tarafından kullanıldığı için açılamaz veya kopyalanamaz.” “Düşmanlar, bu korumayı aşmak için genellikle Birim Gölge Kopyası Hizmetini kullanarak işletim sisteminin klonlanmış bir görüntüsünü oluşturur ve bunu bir diske kaydeder. Ardından, düşman, gölge kopyada bulunan NTDS.dit kopyasını hiçbir sorun olmadan sızdırabilir. çünkü bu dosya sürümü hiçbir işlem tarafından kullanılmıyor.”
Bundan sonra Voltzite, karma kırma işlemini gerçekleştirebilir veya kullanıcı kimliğini doğrulamak için “karmayı geçirme” tekniklerini kullanabilir.
LotL ikili dosyalarının bir listesini içeren Dragos raporuna göre Voltzite, minimum düzeyde araç kullanımıyla bilinirken, verileri bir komut ve kontrol (C2) sunucusuna yönlendirmek için FRP ters proxy aracını ve birden fazla Web kabuğunu kullandı. Voltzite’ın kullandığı.
Kamu Hizmetleri Siber Savunma Konusunda Şimdi Harekete Geçmeli
Yıkıcı niyetleri açık olsa da Dragos şu ana kadar Voltzite’ın ICS/OT varlıklarını veya operasyonlarını bozabilecek, bozabilecek veya yok edebilecek eylem veya yetenekleri başarıyla sergilediğini görmedi. Ancak bu durum değişmeyecek anlamına gelmiyor.
Bağımsız Emtia İstihbarat Hizmetleri’nde (ICIS) enerji piyasaları uzmanı olan Aura Sabadus, bilgisayar korsanlarının iletim sistemlerini veya enerji santrallerini devre dışı bırakmasıyla enerji tesislerine yönelik saldırıların 2020 ile 2022 arasında iki kattan fazla arttığını belirtiyor. Volt Typhoon gibi yeni oyuncuların kritik gaz, elektrik ve su altyapısına yönelik varoluşsal bir tehdidi temsil etmesi nedeniyle, en kötü senaryoyu engellemek için daha fazla yatırım yapılması gerekecek.
“Dünya çapında pek çok kamu hizmeti kuruluşu siber saldırılarla mücadele için önemli bütçeler ayırsa da, birçok şirket reaktif modda kalıyor ve uzun vadeli bir stratejiye sahip görünmüyor” diyor. “Artan risklere yanıt vermek için büyük yatırımlara ihtiyaç var, ancak aynı zamanda yenilenebilir üretim biçimlerinin ölçeğini artırmak için gereken bütçeleri de tüketiyor olabilirler.”
Dragos, korumayı güçlendirmek için kuruluşların SANS Enstitüsü’nün Birinci Sınıf OT Siber Güvenliği için 5 Kritik Kontrolünü uygulamasını öneriyor:
-
Bir saldırı sırasında odaklanmış sistem bütünlüğü ve kurtarma yetenekleriyle operasyon bilgisine sahip bir olay müdahale (IR) planı hazırlayın; risk senaryolarını güçlendirmek ve ICS ortamına uyarlanmış vakaları kullanmak için tasarlanmış egzersizler.
-
Görünürlüğü, günlük toplamayı, varlık tanımlamayı, segmentasyonu, endüstriyel “askerden arındırılmış bölgeleri” ve süreç iletişim uygulamasını destekleyen mimarileri dağıtın.
-
Operasyonları kontrol edilecek potansiyel riskler hakkında bilgilendirmek için kullanılan protokol uyumlu araç setleri ve “sistemler arası” etkileşim analizi yetenekleri ile ICS ortamının sürekli ağ güvenliği izlemesi.
-
Tüm uzak erişim noktalarının ve izin verilen hedef ortamların, isteğe bağlı erişimin ve çok faktörlü kimlik doğrulamanın (MFA), mümkün olduğunda atlama ana bilgisayar ortamlarının tanımlanması ve envanterinin alınması.
-
Risk bazlı güvenlik açığı yönetimini kullanın.