İran ve Çin’den ABD su ve atık su sistemlerini hedef alan tehdit grupları hakkında yeni bir Beyaz Saray tavsiyesi, bir kez daha sektörün yıkıcı siber saldırılara karşı devam eden kırılganlığına dikkat çekti.
EPA yöneticisi Michael Regan ve Başkan Biden’ın ulusal güvenlik danışmanı Jake Sullivan tarafından ortaklaşa imzalanan uyarı, su ve su arıtma tesisleri operatörlerine siber güvenlik uygulamalarını acilen gözden geçirmeye çağırıyor. Paydaşların ihtiyaç duyulan yerlerde siber risk azaltma kontrollerini uygulamaya koyması ve saldırılara hazırlanmak, bunlara yanıt vermek ve saldırılardan kurtulmak için planlar uygulaması ihtiyacını savunur.
Bir Eylem Çağrısı
Beyaz Saray, “Çoğu durumda, varsayılan şifreleri sıfırlamak veya bilinen güvenlik açıklarını gidermek için yazılımı güncellemek gibi temel siber güvenlik önlemleri bile mevcut değildir ve işlerin olağan akışı ile yıkıcı bir siber saldırı arasındaki fark anlamına gelebilir” diye uyardı.
Not, geçen Kasım ayındaki gibi saldırılarla ilgili endişelerden kaynaklanıyor. Pensilvanya’daki Aliquippa Belediye Su İdaresi İran devleti destekli CyberAv3ngers adlı bir grup tarafından. Söz konusu saldırıda, Tehdit aktörü kontrolü ele geçirdi ve kapandı İki ilçedeki su basıncını izlemek ve düzenlemek için bir Unitronics programlanabilir mantık denetleyicisi (PLC). Saldırı, her iki toplumdaki içme suyu ve su tedariki açısından herhangi bir risk teşkil etmese de, düşmanların su sistemlerini hedef alarak neden olabileceği potansiyel zarara dair bir uyarı işlevi gördü.
Bu haftaki Beyaz Saray notu, bu tür saldırıların ülke genelinde su ve atık su sistemlerine yönelik süregelen bir tehdit olduğu konusunda uyardı. Saldırılar, özellikle İran hükümetinin İslam Devrim Muhafızları Birliği’ne (IRGC) bağlı siber tehdit aktörlerine ve ABD’nin kritik altyapısına yönelik yakın zamanda yapılan çok sayıda saldırıyla ilişkilendirilen Çin destekli bir tehdit aktörü olan Volt Typhoon’a atfedildi.
Regan ve Sullivan, İranlı tehdit aktörlerinin saldırılarının ABD su tesislerindeki kritik operasyonel teknolojiyi (OT) bozmak ve bozmak için tasarlandığını açıkladı. Volt Typhoon’un saldırılarını, ABD ile Çin arasında herhangi bir potansiyel askeri çatışmaya veya artan jeopolitik gerilime yanıt olarak gelecekteki aksaklık faaliyetleri için kendilerini iyi konumlandırma girişimi olarak nitelendirdiler.
ABD Siber Güvenlik ve Altyapı Ajansı (CISA), FBI, NSA ve güvenlik sağlayıcıları ve araştırmacıları yakın zamanda kritik altyapı hedeflerine yönelik Volt Typhoon saldırılarına ilişkin bir dizi uyarı yayınladı. Uyarılar arasında tehdit aktörünün vurduğuna ilişkin bir uyarı da yer alıyor birden fazla ABD elektrik kuruluşusömürmek savunmasız Cisco yönlendiricileri saldırı ağını oluşturmak ve kendini önceden konumlandırma Gelecekte ABD’nin kritik altyapısına yönelik potansiyel olarak sakatlayıcı saldırılar için.
Çekici Bir Hedef
Beyaz Saray bu haftaki notunda, “İçme suyu ve atık su sistemleri siber saldırılar için çekici bir hedeftir çünkü bunlar cankurtaran kritik bir altyapı sektörüdür ancak çoğu zaman sıkı siber güvenlik uygulamalarını benimsemek için kaynak ve teknik kapasiteden yoksundur” dedi.
Swimlane’deki baş güvenlik otomasyon mimarı Nick Tausek, enerji üretimi gibi sektörlerle karşılaştırıldığında su altyapısının siber güvenlik açısından çok daha az ilgi gördüğünü söylüyor. “Bir ulus devlet aktörünün, tarihsel olarak kolay olan bu hedefi, gelecekteki bir çatışma sırasında eş zamanlı olarak ülkenin birçok bölgesinde su güvenliğini bozmak için kullandığını hayal etmek zor değil” diyor. Bu tür saldırılar “kurumlara olan güveni sarsabilir, halka zarar verebilir ve su kriziyle başa çıkmak için kaynakları tüketebilir.”
Bugcrowd’un kurucusu ve baş strateji sorumlusu Casey Ellis, su altyapısı tesislerindeki sistemlerin çoğunun – OT ve ICS ortamlarındaki diğer yerlerde olduğu gibi – genellikle içlerinde bilinen güvenlik açıkları bulunan eski yazılımlara ve işletim sistemlerine dayandığını söylüyor. “Bu tür sistemler için geleneksel ‘yamaları uygulama, MFA uygulama, güçlü şifreler kullanma’ yönlendirmesi, yaşları nedeniyle her zaman işe yaramıyor” diyor. Ellis, genel olarak operatörlerin kontrol sistemlerinin kurumsal sistemlerden ve internetten uygun şekilde bölümlenmesini sağlamaları ve ürüne özel rehberlik almak için ara yazılım sağlayıcılarıyla konuşmaları gerektiğini söylüyor.
Ellis, diğer güvenlik uzmanları gibi, tehdit aktörlerinin su sistemlerine olan ilgisinin nedeni olarak belirli bir olaya işaret ediyor: Oldsmar, Florida’daki bir su arıtma tesisine 2021’de bildirilen bir saldırının, bu olaya neden olduğu söylenen soda seviyesi yükselecek Bir örnek olarak, tespit edilmeden önce toksik seviyelere ulaşması. “Oldsmar saldırısında tüm bunlar [the attacker] Gerekli olan, TeamViewer hesabı için kimlik avı yapılan bir kullanıcı adı ve şifreydi. Bu tür sistemlerin açık internette bulunduğunu şahsen gördüm” diye açıklıyor Ellis.
Savunma Tedbirleri
Kısmen bu tür saldırıları önlemek için 2023 Kırsal Su Sistemleri Siber Güvenlik Yasası fon güvenliğine 7,5 milyon dolar ayırdı Kırsal su sistemleri yıkıcı saldırılara karşı en savunmasız olanlar arasında yer alıyor. Para, siber güvenlik uzmanlarının küçük kırsal su tesislerine seyahat edeceği ve daha güçlü siber güvenlik uygulamalarına yardımcı olacağı Circuit Rider Programı olarak bilinen programı önümüzdeki birkaç yıl için finanse edecek.
Critical Start’ın CIRT yöneticisi Chad Graham, birçok durumda operatörlerin bizzat değişimi uygulamaya başladığını söylüyor. “Su ve atık su sistemlerinin benimsediği umut verici yaklaşımlardan biri, bilgi teknolojisi (IT) ve operasyonel teknoloji (OT) ortamlarının belirgin bir şekilde ayrılmasını içeriyor” diyor. Bu yaklaşım, başarılı bir saldırının güvenli içme suyu tedarikini kesintiye uğratabileceği veya atık su arıtma süreçlerini bozabileceği bir ortamda hasarın kontrol altına alınması açısından kritik öneme sahiptir. “Bu temel hizmetlerin kesintiye uğraması, acil halk sağlığı krizlerine ve uzun vadeli çevresel hasara yol açabilir.”