Endüstriyel siber saldırganlar, operasyonel teknoloji (OT) ağlarına sızmak için çıkarılabilir medyayı giderek daha fazla kullanıyor ve ardından izlerini bırakmak için aynı eski kötü amaçlı yazılımlardan ve güvenlik açıklarından yararlanıyor.
Sebebi ne olursa olsun, USB cihazları yine la modunda dünyanın önde gelen tehdit aktörlerinden bazılarıyla. Bu, Honeywell’e göre hiçbir yerde OT alanından daha belirgin değildir “2024 USB Tehdit RaporuSaldırganlar endüstriyel ağlarda yer edinmek için “açıkça” USB’lere yöneliyor.
Honeywell’in raporuna göre, bu dayanak noktası sayesinde saldırganlar karmaşık istismar tekniklerinden, sıfır gün güvenlik açıklarından veya yeni kötü amaçlı yazılımlardan vazgeçiyor. Bunun yerine, nihai hedeflerine ulaşmak için eski araçlardan ve hatalardan ve ayrıca OT kontrol sistemlerinin yerleşik özelliklerinden yararlanıyorlar.
Neden USB’ler?
USB’ler, en yeni ve en güncel saldırı tekniklerinin hiçbirinde olmayan bir şeye sahiptir: hava boşluklarını kapatma yeteneği.
Gerçek hava boşlukları, hiçbir kötü niyetli saldırının geçmesine izin vermeyecek şekilde tasarlanmış, OT ve BT ağları arasındaki fiziksel ayrımlardır. Bazıları bu terimi aynı zamanda erişim kontrolleri, segmentasyon ve benzerlerini kullanarak BT ve OT sistemlerini ayıran diğer kurulum türlerini tanımlamak için de kullanır. Hava boşlukları çoğunlukla yüksek riskli endüstrilerde (nükleer, askeri, finansal hizmetler vb.) kullanılır; burada BT ve OT ağlarını birbirinden ayırmanın diğer yolları işe yaramaz.
OPSWAT OT ürün pazarlama müdürü Matt Wiseman, “Birçok operasyonel tesiste tamamen hava boşluğu var” diye açıklıyor. “E-posta tabanlı saldırı (ağ üzerinden yapılan bir saldırı) gibi daha modern yaklaşımlar, [the OT systems] geniş İnternet bağlantısı kesilir. Daha yaratıcı olmanız, kalıpların dışında düşünmeniz gerekiyor. USB’ler ve çıkarılabilir ortamlar çok ilgi çekici çünkü bunlar cebinizde taşıyabileceğiniz ve hava boşluğunun ötesine taşıyabileceğiniz tek tehdit.”
İlginç bir şekilde, bu trend COVID sırasında doğmuş gibi görünüyor. 2019’da sektöre yönelik USB aracılığıyla taşınan siber tehditlerin yalnızca %9’u aslında USB’ler için tasarlandı. 2022 yılına gelindiğinde ve o zamandan bu yana sürekli olarak bu rakam %50’yi aştı.
Bu hava boşluğunu bir USB ile aşan saldırganlar, veri toplama ve sızma (Honeywell’in tespit ettiği USB saldırılarının %36’sında gözlemlendi), savunmadan kaçınma (%29) ve yükseltme ayrıcalıklarını gerçekleştirmek için araziden yaşama taktiklerini tercih ediyor ( %18, sonuçta operasyonel ağda kalıcılığa ulaşıldı.
Açıkça yeni ve güçlü kötü amaçlı yazılımlar ve güvenlik açıkları, geçmiş yılın marka adı araçları gibi odak noktası değil. SiyahEnerji Ve Industroyer (diğer adıyla CrashOverride) hala tur atıyorlar. Bu tür saldırılarda yararlanılan en yaygın güvenlik açıkları; CVE-2010-2883 Ve CVE-2017-11882 – eşit tarihlidir. Honeywell’in raporunda listelenen en yaygın CVE’lerin tümü en az 2018’den beri bilinmektedir.
Çoğu durumda bu saldırıların amacı düzeni bozmak veya yok etmektir. Artık her yıl USB tabanlı tehditlerin yaklaşık %80’i, görünürlük veya kontrol kaybı veya daha kötüsü (fidye yazılımı, silecekler vb.) dahil olmak üzere OT sistemlerinde kesintilere neden olabiliyor.
USB Tehditlerine Karşı Savunma
Savunmacılar için iyi haber şu ki, bu kadar eskimiş tehdit vektörleri söz konusu olduğunda süslü ve pahalı çözümler her zaman çözüm olmayabilir. Wiseman, katı USB politikaları ve prosedürlerini kastederek “Her zaman temel ilkelere sadık kalabilirsiniz” diyor.
Pek çok organizasyonda şöyle diyor: “Birkaç yıl öncesine giderseniz, bir onur sistemi vardı. ‘Hey, bunu taradınız mı?’ Artık emin olmak için kontrol edebilecek bir teknolojiye sahipsiniz. Bir şeyi takarsanız, bir tür resmi güvenlik çözümü tarafından taranıp kontrol edilmediği sürece çalışmayacaktır.”
Bu teknoloji genellikle çıkarılabilir medyayı taramak için bir kiosk veya “temizlik istasyonu” biçimini alır ve kötü niyetli kişilerin içeri girmemesini sağlamak amacıyla hassas bir sitenin dışına stratejik olarak yerleştirilir. Bazen bu istasyonlar, hiçbir dış cihazın endüstriyel kontrol katının eşiğini geçmek zorunda kalmamasını sağlamak için dosya aktarım sistemleriyle eşleştirilir.
“Artık daha olgun konuşmalar görüyoruz. Mobil programımız nedir? Çalışanlar için süreç nedir? Misafirler için süreç nedir? Bu cihazları nasıl yönetiriz? Gerçekleşen etkinliği nasıl görüntüleriz? ‘ileriye gitmenin önünde mi?” diyor. “Bu cihazların oluşturabileceği tehdidin kesinlikle büyük bir farkındalığı var.”