Kötü amaçlı yazılım yazarlarının endüstriyel kontrol sistemine (ICS) özel kötü amaçlı yazılım yazması nispeten zordur. Geleneksel BT kötü amaçlı yazılımlarıyla karşılaştırıldığında, ICS’yi tehlikeye atmak istiyorsanız çeşitli nedenlerden dolayı daha fazla çaba harcamanız gerekir.
Öncelikle hedef ortamı anlamanız gerekir. ICS tesisleri BT’den çok daha heterojen olduğundan, saldırganların genellikle saldırılarını belirli bir hedefe uyarlaması ve bu belirli siteden istihbarat toplaması gerekir.
İkinci olarak saldırganın hedeflediği süreci anlaması gerekir. Kötü amaçlı yazılım yazarları genellikle metalurji, enerji üretimi veya suyun tuzdan arındırılması konularında alan uzmanı değildirler ve eğer buna müdahale etmek istiyorlarsa, altta yatan fiziksel süreci anlamak için konunun uzmanlarıyla iletişim kurmaları gerekir.
Üçüncüsü, ICS ortamlarında operatörlerin maliyetli hatalar yapmasını engelleyen çok sayıda güvenlik sistemi mevcuttur. Bu sistemler aynı zamanda tehlikeli fiziksel anormallikler üzerinde kontrole sahip oldukları için siber saldırıları kontrol altına alma açısından da uygundur.
Yedi ICS Merkezli Kötü Amaçlı Yazılım Ailesi
Buna rağmen, özellikle ICS ortamlarını hedef alan yedi kötü amaçlı yazılım ailesi gördük. ICS’ye özgü kötü amaçlı yazılımlara ilişkin kısa bir tarihsel genel bakış:
- Stuxnet’in (2010): Stuxnet, İran’ın nükleer tesislerindeki santrifüjleri hedef alırken, dönme hızlarını değiştirerek fiziksel hasar vermek amacıyla doğada bulunan ilk ICS kötü amaçlı yazılımıydı. O zamanlar yeni kabul edilmişti ve WMI tüketicilerini kullanan süreç boşluğu ve kalıcılık gibi ICS ortamlarından bağımsız olarak bugün hala rakipler tarafından kullanılan bazı kötü niyetli teknikleri tanıttı.
Havex (2013): Havex (diğer adıyla Dragonfly), 2013 yılında geniş kapsamlı bir endüstriyel casusluk kampanyasının parçası olarak tespit edildi. Havex’in arkasındaki tehdit aktörleri, hedeflerine kimlik avı e-postaları da dahil olmak üzere farklı teknikler bulaştırdı ve çeşitli ICS ekipman satıcılarının web sitelerini ele geçirdi. Yasal satıcı yazılım güncellemelerinin kötü amaçlı sürümlerle değiştirilmesi. Kurbanlar Trojanlı güncellemeleri indirdiklerinde, onlara Havex kötü amaçlı yazılımı bulaştı ve bu da tehdit aktörlerinin virüslü ağlara uzaktan erişmesine ve virüslü makinelerden veri topla.
BlackEnergy2/3 (2014–2015): Bir yıl sonra BlackEnergy2 kötü amaçlı yazılımı ortaya çıktı. 2014 yılında, ABD İç Güvenlik Bakanlığı açıkladı nükleer santraller, elektrik şebekeleri, su arıtma sistemleri ve petrol ve gaz boru hatları da dahil olmak üzere birçok hayati önem taşıyan ulusal altyapıyı kontrol eden yazılımı tehlikeye attığını söyledi. ICS’ye özgü olmayan bir varyant olan BlackEnergy3, daha sonra Ukrayna enerji şirketlerinin ağlarına karşı 2015 yılındaki bir kampanyanın parçası olarak kullanıldı. Her iki yöntemde de hedef içinde tutunacak yer edindikten sonra saldırganların ağı geçip manuel olarak hasar vermeleri gerekiyordu.
Industroyer Crashoverride (2016): Esas olarak ICS içinde yer kazanmak ve endüstriyel süreçleri keşfetmek için kullanılan BlackEnergy2’den farklı olarak Crashoverride kötü amaçlı yazılımının amacı elektrik şebekesi operasyonlarına fiziksel zarar vermektir saldırı sırasında saldırganların “ellerinin klavyede olmasına” gerek kalmadan otomatik olarak. Bunu başarmak için, ICS’ye özgü protokolleri kullanarak hedef ekipmanla iletişim kuracak ve şebeke ekipmanıyla etkileşime girecek şekilde kodlandı.
Trisis/Triton (2017): Daha önce de belirtildiği gibi, ICS tesisleri, altta yatan kinetik süreç tehlikeli davranış gösterdiğinde arızaya karşı koruma önlemleri olarak otomatik olarak devreye giren güvenlik enstrümanlı sistemler (SIS) ile donatılmıştır. Örneğin emniyet valfleri, insanların yaralanmasını ve ekipmanların zarar görmesini önlemek amacıyla normal seviyeleri aşan basıncı tahliye etmek için otomatik olarak açılacaktır. Triton, özellikle güvenlik ekipmanlarını hedef alan ilk ICS kötü amaçlı yazılımıydı. Bu anlamda saldırganların azim ve cesareti açısından bir adım öne geçti.
Sanayici2 (2022): Orijinal 2016 Industroyer, Ukrayna’daki elektrik şebekesi operasyonlarını durdurmak için başarıyla kullanıldıktan sonra, onun halefi olan Industroyer2, 2022’de yine Ukrayna’da keşfedildi. Dragos’a göre Industroyer2, selefinin sadeleştirilmiş bir versiyonudur ve aşağıdaki amaçlarla tasarlanmıştır: şeyler) ızgara devre kesicilerini çevirin açıktan kapalıya ve tam tersi.
Boş Rüya (2022): Pipedream, çeşitli satıcıların uzun bir ICS cihazı listesiyle yerel olarak etkileşim kurabilen, bugüne kadar keşfedilen en son ve en gelişmiş ICS’ye özgü kötü amaçlı yazılımdır. Bir göre CISA tavsiyesi, kötü amaçlı yazılım “belirli ICS/SCADA cihazlarını tarayabilir, bunların güvenliğini aşabilir ve kontrol edebilir.” Bu yetenekler, Dragos’a göre“endüstriyel kontrol sistemleri ve süreçlerinin kullanılabilirliği, kontrolü ve güvenliğine yönelik açık ve mevcut bir tehdit” sunar ve “operasyonları ve yaşamları tehlikeye atmak için kullanılabilir.”
Siber güvenlik alanında sıklıkla Tehditleri bir üçlüye dayalı olarak analiz edin fırsat, yetenek ve niyet. Tehdit aktörlerinin başarılı saldırılar gerçekleştirebilmeleri için üçüne de sahip olmaları gerekir. ICS’ye özgü kötü amaçlı yazılımların bu kısa geçmişine bakıldığında, tehdit gruplarının fiziksel hasar vermeye ve güvenlik sistemlerine saldırmaya çalışarak daha cesur hale geldiği ve dolayısıyla genel zarar verme niyetinin arttığına işaret ettiği görülüyor. Kötü amaçlı yazılımın teknik analizi, artan yeteneklere işaret eden, artan bir karmaşıklık eğilimini ortaya koyuyor. Geçmişten ders alıp ağlarımızı saldırganlara karşı düşman hale getirmek ve böylece onların aradıkları fırsatları engellemek biz siber savunucuların sorumluluğundadır.
