Avrupa’daki endüstriyel kontrol sistemlerini (ICS) ve işletim teknolojisi (OT) ortamlarını hedef alan iki tehlikeli kötü amaçlı yazılım aracı, Ukrayna’daki savaşın siber etkilerinin en son belirtileridir.
Araçlardan biri “”Kapeka“, Google’ın Mandiant güvenlik grubunun bu hafta ülkenin en güçlüsü olarak tanımladığı, Rus devleti destekli üretken bir tehdit aktörü olan Sandworm ile bağlantılı görünüyor. Ukrayna’daki birincil siber saldırı birimi. Finlandiya merkezli WithSecure’un güvenlik araştırmacıları, Estonyalı bir lojistik şirketine ve Doğu Avrupa’daki diğer hedeflere yönelik 2023 saldırılarında öne çıkan arka kapıyı tespit etti ve bunu aktif ve devam eden bir tehdit olarak algıladı.
Yıkıcı Kötü Amaçlı Yazılım
Diğer kötü amaçlı yazılım — biraz renkli bir şekilde adlandırıldı Fuxnet – Ukrayna hükümeti destekli tehdit grubu Blackjack’in, muhtemelen Moskova’nın kanalizasyon sistemini izlemek için geniş bir sensör ağı bulunduran Moskollector şirketine karşı yakın zamanda gerçekleştirdiği yıkıcı saldırıda kullandığı bir araç. Saldırganlar, Moskollector’un ağındaki toplam 1.700 sensör ağ geçidini başarıyla örtmek için Fuxnet’i kullandı ve bu süreçte bu ağ geçitlerine bağlı yaklaşık 87.000 sensörü devre dışı bıraktı.
Yakın zamanda Blackjack’in saldırısını araştıran ICS güvenlik firması Claroty’nin güvenlik açığı araştırması direktörü Sharon Brizinov, “Fuxnet ICS kötü amaçlı yazılımının ana işlevi, sensör ağ geçitlerine erişimi bozmak ve engellemek ve aynı zamanda fiziksel sensörleri de bozmaya çalışmaktı” diyor. Brizinov, saldırı sonucunda Moskollector’ın etkilenen binlerce cihazın her birine fiziksel olarak ulaşmak ve bunları tek tek değiştirmek zorunda kalacağını söylüyor. “Yenilemek [Moskollector’s] Moskova’nın dört bir yanındaki kanalizasyon sistemini izleme ve işletme becerisine sahip olmaları durumunda, tüm sistemi temin etmeleri ve sıfırlamaları gerekecek.”
Kapeka ve Fuxnet, Rusya ile Ukrayna arasındaki çatışmanın daha geniş siber etkilerinin örnekleridir. İki ülke arasındaki savaşın Şubat 2022’de başlamasından bu yana, hatta bundan çok önce, her iki taraftan hacker grupları bir dizi kötü amaçlı yazılım aracı geliştirip birbirlerine karşı kullandı. Silecekler ve fidye yazılımları da dahil olmak üzere araçların çoğu, doğası gereği yıkıcı veya yıkıcı olmuştur ve esas olarak her iki ülkedeki kritik altyapıyı, ICS ve OT ortamlarını hedef aldı.
Ancak birçok durumda, iki ülke arasında uzun süredir devam eden ihtilaftan kaynaklanan araçları içeren saldırılar, daha geniş bir mağdur grubunu etkiledi. Bunun en dikkate değer örneği, Sandworm grubunun ilk olarak Ukrayna’da kullanılmak üzere geliştirdiği, ancak 2017’de dünya çapında on binlerce sistemi etkileyen kötü amaçlı yazılım aracı NotPetya’dır. 2023’te, İngiltere Ulusal Siber Güvenlik Merkezi (NCSC) ve ABD Ulusal Güvenlik Ajansı (NSA), “Rezil Keski” adlı Sandworm kötü amaçlı yazılım araç setinin dünyanın her yerindeki Android kullanıcıları için tehdit oluşturduğu konusunda uyardı.
Kapeka: GreyEnergy’nin Yerine Bir Kum Solucanı mı?
WithSecure’a göre Kapeka, saldırganların erken aşama araç seti olarak kullanabileceği ve kurban sisteminde uzun vadeli kalıcılığa olanak tanıyan yeni bir arka kapıdır. Kötü amaçlı yazılım, arka kapıyı hedef makineye bırakıp ardından kendisini kaldırmak için bir damlalık bileşeni içerir. WithSecure araştırmacılarından Mohammad Kazem Hassan Nejad, “Kapeka, kurbanın malikanesinde esnek bir arka kapı olarak çalışmasına olanak tanıyan tüm temel işlevleri destekliyor” diyor.
Yetenekleri arasında, diskten ve diske dosya okuma ve yazma, kabuk komutlarını yürütme ve arazide yaşayan ikili dosyalar da dahil olmak üzere kötü amaçlı yükleri ve işlemleri başlatma yer alıyor. Nejad, “İlk erişimi sağladıktan sonra Kapeka’nın operatörü, kurbanın makinesinde keşif, ek kötü amaçlı yazılım dağıtma ve saldırının sonraki aşamalarını hazırlama gibi çok çeşitli görevleri gerçekleştirmek için arka kapıyı kullanabilir” diyor.
Nejad’a göre WithSecure, Sandworm ve grubun GreyEnergy kötü amaçlı yazılımı 2018’de Ukrayna’nın elektrik şebekesine yapılan saldırılarda kullanıldı. Nejad, “Kapeka’nın Sandworm’un cephaneliğindeki GreyEnergy’nin yerini alabileceğine inanıyoruz” dedi. Her ne kadar iki kötü amaçlı yazılım örneği aynı kaynak kodundan kaynaklanmasa da, GreyEnergy ile öncülü arasında bazı örtüşmeler olduğu gibi, Kapeka ile GreyEnergy arasında da bazı kavramsal örtüşmeler vardır. SiyahEnerji. Nejad, “Bu, Sandworm’un değişen tehdit ortamına uyum sağlamak için cephaneliğini zaman içinde yeni araçlarla geliştirmiş olabileceğini gösteriyor” diyor.
Fuxnet: Bozmak ve Yok Etmek İçin Bir Araç
Bu arada Clarity’den Brizinov, Fuxnet’i belirli Rus yapımı sensör ekipmanlarına zarar vermeyi amaçlayan ICS kötü amaçlı yazılımı olarak tanımlıyor. Kötü amaçlı yazılımın, yangın alarmları, gaz izleme, aydınlatma ve benzeri kullanım durumları için fiziksel sensörlerden veri toplayan ve izleyen ağ geçitlerine dağıtılması amaçlanıyor.
Brizinov, “Kötü amaçlı yazılım yayıldıktan sonra, NAND çipinin üzerine yazarak ve harici uzaktan erişim özelliklerini devre dışı bırakarak ağ geçitlerini kapatacak ve operatörlerin cihazları uzaktan kontrol etmesini önleyecek” diyor.
Daha sonra ayrı bir modül, fiziksel sensörleri gereksiz M-Bus trafiğiyle doldurmaya çalışır. M-Bus, gaz, su, elektrik ve diğer sayaçların uzaktan okunmasına yönelik bir Avrupa iletişim protokolüdür. “Blackjack’in Fuxnet ICS kötü amaçlı yazılımının ana amaçlarından biri [is] Brizinov, “sensör ağ geçidine erişim sağladıktan sonra fiziksel sensörlere saldırmak ve onları yok etmek” diyor. Bunu yapmak için Blackjack, sensörlere sınırsız sayıda M-Bus paketi göndererek onları bulanıklaştırmayı seçti. “Aslında, BlackJack şunu umuyordu: Sensöre sürekli olarak rastgele M-Bus paketleri gönderen paketler onları bunaltacak ve potansiyel olarak sensörleri bozacak ve onları çalışamaz bir duruma getirecek bir güvenlik açığını tetikleyecektir” diyor.
Kuruluşların bu tür saldırılardan çıkarması gereken en önemli çıkarım, güvenlik temellerine dikkat etmektir. Örneğin Blackjack, cihazlardaki zayıf kimlik bilgilerini kötüye kullanarak hedef sensör ağ geçitlerine kök erişimi elde etmiş görünüyor. Saldırı, “cihazların aynı kimlik bilgilerini paylaşmamasını veya varsayılan kimlik bilgilerini kullanmamasını sağlayarak iyi bir şifre politikası izlemenin neden önemli olduğunu” vurguluyor. “Aynı zamanda iyi bir ağ temizleme ve bölümlendirme uygulamak, saldırganların ağ içinde yanal olarak hareket edememesini ve kötü amaçlı yazılımlarını tüm uç cihazlara dağıtmamasını sağlamak da önemlidir.”