Microsoft, 2023’ün sonlarından bu yana bu tür ortamları hedef alan bir dizi siber saldırının ardından, internete açık operasyonel teknoloji (OT) cihazlarının güvenliğinin sağlanması ihtiyacını vurguladı.
Microsoft Tehdit İstihbaratı ekibi, “OT cihazlarına yönelik bu tekrarlanan saldırılar, OT cihazlarının güvenlik duruşunu iyileştirme ve kritik sistemlerin kolay hedefler haline gelmesini önleme konusundaki hayati ihtiyacı vurguluyor.” söz konusu.
Şirket, bir OT sistemine yapılacak bir siber saldırının, kötü niyetli aktörlerin, programlanabilir mantık denetleyicisi (PLC) aracılığıyla programlı bir şekilde veya insan-makine arayüzünün (HMI) grafiksel kontrollerini kullanarak endüstriyel süreçlerde kullanılan kritik parametrelere müdahale etmesine izin verebileceğini belirtti. arızalara ve sistem kesintilerine neden olur.
Ayrıca, OT sistemlerinin genellikle yeterli güvenlik mekanizmalarına sahip olmadığını, bu durumun onları düşmanlar tarafından istismar edilmeye ve “uygulanması nispeten kolay” saldırılar gerçekleştirmeye hazır hale getirdiğini söyledi; bu, OT cihazlarının internete doğrudan bağlanmasıyla ortaya çıkan ek risklerle daha da artan bir gerçektir.
Bu, yalnızca cihazların internet tarama araçları aracılığıyla saldırganlar tarafından keşfedilebilmesini sağlamakla kalmaz, aynı zamanda zayıf oturum açma şifrelerinden veya bilinen güvenlik açıklarına sahip güncel olmayan yazılımlardan yararlanarak ilk erişim elde etmek için silah haline getirilir.
Daha geçen hafta Rockwell Automation, müşterilerini “küresel düzeyde artan jeopolitik gerilimler ve düşmanca siber faaliyetler” nedeniyle halka açık internete bağlanması amaçlanmayan tüm endüstriyel kontrol sistemlerinin (ICS) bağlantısını kesmeye çağıran bir tavsiye yayınladı.
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) da piyasaya sürülmüş Kuzey Amerika ve Avrupa’daki savunmasız endüstriyel kontrol sistemlerini hedef alan Rusya yanlısı hacktivistlere ilişkin kendi uyarısını içeren bir bülten.
Ajans, “Özellikle, Rusya yanlısı hacktivistler HMI’ları manipüle ederek su pompalarının ve üfleyici ekipmanlarının normal çalışma parametrelerini aşmasına neden oldu” dedi. “Her durumda, hacktivistler ayar noktalarını maksimuma çıkardı, diğer ayarları değiştirdi, alarm mekanizmalarını kapattı ve WWS operatörlerini kilitlemek için yönetim şifrelerini değiştirdi.”
Microsoft ayrıca, Ekim 2023’te İsrail-Hamas savaşının başlamasının, İsrail şirketleri tarafından geliştirilen, internete açık, zayıf güvenlikli OT varlıklarına yönelik siber saldırılarda ani bir artışa yol açtığını ve bunların çoğunun Siber Avcılar, Süleyman’ın Askerleri gibi gruplar tarafından yürütüldüğünü söyledi. ve İran’a bağlı Abnaa Al-Saada.
Redmond’a göre saldırılar, İsrail’de farklı sektörlerde konuşlandırılan ve uluslararası satıcılar tarafından üretilen OT ekipmanlarını ve ayrıca İsrail’den temin edilen ancak diğer ülkelerde konuşlandırılan OT ekipmanlarını hedef alıyordu.
Teknoloji devi, bu OT cihazlarının “zayıf güvenlik duruşuna sahip, potansiyel olarak zayıf şifrelerin ve bilinen güvenlik açıklarının eşlik ettiği, öncelikle internete açık OT sistemleri olduğunu” ekledi.
Bu tür tehditlerin oluşturduğu riskleri azaltmak için kuruluşların, özellikle saldırı yüzeyini azaltarak ve saldırganların güvenliği ihlal edilmiş bir ağ içinde yatay olarak hareket etmesini önlemek için sıfır güven uygulamalarını uygulayarak OT sistemleri için güvenlik hijyeni sağlamaları önerilir.
Gelişme, OT güvenlik firması Claroty’nin ardından geliyor ambalajsız Ukrayna tarafından desteklendiğinden şüphelenilen Blackjack hack grubunun, acil durum tespit ve müdahale amacıyla Moskova’nın yer altı su ve kanalizasyon sistemlerini izleyen geniş bir sensör ağına sahip bir Rus şirketi olan Moscollector’a karşı kullanıldığı iddia edilen Fuxnet adlı yıkıcı bir kötü amaçlı yazılım türü.
BlackJack, hangi paylaşılan ayrıntılar Geçtiğimiz ayın başındaki saldırıda Fuxnet’i “steroidler üzerinde Stuxnet” olarak tanımladı ve Claroty, kötü amaçlı yazılımın muhtemelen SSH veya sensör protokolü (SBK) gibi protokolleri kullanarak 4321 numaralı bağlantı noktası üzerinden hedef sensör ağ geçitlerine uzaktan dağıtıldığını belirtti.
Fuxnet, dosya sistemini geri dönülemez bir şekilde yok etme, cihaza erişimi engelleme ve hafızayı çalışmaz hale getirmek için sürekli olarak yazıp yeniden yazarak cihazdaki NAND hafıza çiplerini fiziksel olarak yok etme yeteneğiyle birlikte gelir.
Bunun da ötesinde, sensörün yeniden başlatılmasını önlemek için UBI birimini yeniden yazmak ve sonunda sahte bir veri akışı göndererek sensörlerin kendisini bozmak için tasarlanmıştır. Metre-Otobüs (M-Bus) mesajları.
“Saldırganlar, ağ geçitlerini hedef alan ve dosya sistemlerini, dizinleri, devre dışı bırakılan uzaktan erişim hizmetlerini, her cihaz için yönlendirme hizmetlerini silen ve flash belleği yeniden yazan, NAND bellek yongalarını, UBI birimlerini yok eden ve bu ağ geçitlerinin çalışmasını daha da bozan diğer eylemleri silen kötü amaçlı yazılım geliştirdi ve dağıttı. ” diye belirtti Claroty.
Rus siber güvenlik şirketi Kaspersky’nin bu hafta başında paylaştığı verilere göre internet, e-posta istemcileri ve çıkarılabilir depolama aygıtları, 2024’ün ilk çeyreğinde bir kuruluşun OT altyapısındaki bilgisayarlara yönelik ana tehdit kaynakları olarak ortaya çıktı.
“Kötü niyetli aktörler komut dosyalarını çok çeşitli amaçlar için kullanıyor: bilgi toplamak, takip etmek, tarayıcıyı kötü amaçlı bir siteye yönlendirmek ve kullanıcının sistemine veya tarayıcısına çeşitli kötü amaçlı yazılım türleri (casus yazılım ve/veya sessiz kripto madenciliği araçları) yüklemek.” söz konusu. “Bunlar internet ve e-posta yoluyla yayıldı.”