BLACK HAT USA — Las Vegas — Geçen yıl Colonial Pipeline’a yönelik benzeri görülmemiş fidye yazılımı saldırısı, kritik altyapı operatörlerinin Stuxnet’in keşfinden 12 yıl sonra ağlarını koruma konusunda çok az ilerleme kaydettiğini gösteriyor. Yazar ve gazeteci Kim Zetter Black Hat USA’in ikinci gününün açılış konuşmasında Colonial Pipeline’ı sert bir şekilde azarladı, liderlerinin sakatlayıcı saldırıyı engelleyebilecek birçok uyarısı vardı.
Yirmi yılı aşkın süredir birçok büyük siber olayı ele alan Zetter, kitabın yazarı Sıfır Gününe Geri Sayım: Stuxnet ve Dünyanın İlk Dijital Silahının Lansmanı (Taç: 2015). Güvenlik uzmanlarının 2010 yılında İran’daki bir uranyum zenginleştirme tesisinde keşfettiği kötü niyetli solucan Stuxnet, açıkça Siemens S7-400 sistemini hedef aldı. Zetter’e göre keşif, yeni nesil hedefli saldırıların habercisi oldu.
Zetter, “Stuxnet 2010’da keşfedildiğinde, daha önce çok az kişinin fark ettiği güvenlik açıklarına ve kritik altyapıya ışık tuttu” dedi. “Güvenlik topluluğu büyük ölçüde BT ağlarına odaklandı. Daha önce operasyonel ağlar, OT ağları, endüstriyel kontrol sistemleri, boru hatlarını ve demiryollarını ve elektrik şebekesini ve su arıtma tesislerini ve üretimlerini yöneten tüm bu sistemler olarak bilinenleri görmezden gelmişlerdi. diğer birçok önemli sektör.”
Stuxnet, haber verdiği şey için o sırada ondan kaynaklanan herhangi bir hasardan daha önemliydi. Bir USB sürücüsü aracılığıyla bir ağa tanıtılan Stuxnet, solucan zararlı kötü amaçlı yazılımdan, onu yaymak için tasarlanmış bir Windows LNK dosyasından ve kötü amaçlı dosyaları gizleyen bir kök kullanıcı setinden oluşur.
Yine 2010 yılında, Aurora adlı gelişmiş bir kalıcı tehdidin (APT) keşfi, ulus devlet bilgisayar korsanlarının artan yeteneklerini ortaya çıkardı, dedi Zetter.
Stuxnet’in keşfi o zamanlar sürpriz olmamalıydı, ancak Zetter’e göre ilk kez bazı gözleri açtı.
“Stuxnet, koddan başka bir şey kullanmadan kritik altyapının fiziksel olarak yok edilmesinin mümkün olduğuna dair kesin kanıtlar sağladı” dedi. “Ama kimse şaşırmamalıydı. Stuxnet’ten on yıl önce, kritik altyapıyı bozmak veya yok etmek için dijital silahların kullanılmasıyla ilgili uyarılar vardı.”
Zetter, Stuxnet’in etkisinin önemli olduğunu belirterek, güvenliğe getirdiği dört büyük değişikliğe işaret etti: Stuxnet, teknikler ve araçlar şeklinde bir damlama etkisi yarattı, günümüzün siber silahlanma yarışını başlattı, güvenlik araştırmalarının ve siber güvenliğin siyasallaşmasını sağladı. -savunma ve kritik altyapının savunmasızlığına ışık tutma.
Zetter, Aurora’nın keşfinin Stuxnet ile aynı zamana denk geldiğinin altını çizdi. “Birçoğunuz muhtemelen bunun Çin’in 34 şirketi vuran ve Google, Adobe ve Juniper’ın kaynak kod depolarını hedef alan yaygın bir casusluk kampanyası olduğunu hatırlıyordur” dedi. “Ve [it] çok faktörlü kimlik doğrulama sistemlerinin motoru olan RSA C deposunu hedefleyen ilk önemli tedarik zinciri operasyonlarından birini içeriyordu.”
Endüstriyel Kontrol Sistemleri İçin Riskler Yüksek Kalıyor
Yakıtın %45’ini ABD Doğu Kıyısı’na dağıtan Colonial Pipeline’ı kilitleyen yüksek profilli saldırı, onu 5,500 millik boru hattını 4,4 milyon doların üzerinde fidye ödeyene kadar kapatmaya zorladı. Zetter, geçen yılki fidye yazılımı saldırısının şirketin üst düzey liderlerini kör etmiş olması için hiçbir neden olmadığını öne sürdü.
Zetter, “Geçen yıl Colonial Pipeline’da olanlar ve artan fidye yazılımı tehdidi öngörülebilirdi” dedi. “Şirket CEO’sunun aylar sonra Capitol Hill’de milletvekillerine söylediği gibi, acil müdahale planı olmasına rağmen, bu müdahale planı bir fidye yazılımı saldırısı içermiyordu – fidye yazılımı saldırganları 2015’ten beri kritik altyapıyı hedef alıyor olsalar da, işaretler oradaydı. Koloni Boru Hattı bakmış olsaydı.”
Zetter, Kritik Altyapı Fidye Yazılım Saldırıları (CIRA) istatistiklerine dikkat çekti Temple Üniversitesi tarafından derlenen 2019’da, Koloni Boru Hattı saldırısından sadece iki yıl önce. Araştırmacılar, 2020’de kritik altyapıya yaklaşık 400 fidye yazılımı saldırısı ve Kasım 2013 ile 31 Temmuz 2022 arasında 1.246 saldırı saydı.
“Bunlar sadece 2016’da fidye yazılımı oyuncuları için büyük bir hedef olan hastanelere yönelik saldırılar değildi” dedi. “Ama bunlar aynı zamanda petrol ve gaz tesislerini de hedef alıyorlardı. Saldırganlar sadece BT sistemlerini hedef almıyorlardı. Kritik süreçleri kontrol eden OT ağlarının peşine düşüyorlardı.”
Ayrıca Zetter, Koloni Boru Hattı saldırısından bir yıl önce, 2020’de Mandiant’ın yedi fidye yazılımı ailesinin 2017’den bu yana endüstriyel kontrol sistemleri işleten kuruluşları vurduğunu bildirdiğini belirtti. Saldırılar büyük aksamalara ve üretim ve teslimat gecikmelerine neden oldu.
Ayrıca 2020’de, Koloni Boru Hattı saldırısından 10 ay önce, Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) bir hatırlatma yayınladı İç Güvenlik Bakanlığı’nın (DHS) Boru Hattı Siber Güvenlik Girişimi’nden. DHS tarafından 2018’de oluşturulan çaba, CISA, Ulaştırma Güvenliği İdaresi (TSA) ve çeşitli federal ve özel sektör paydaşlarının ortak çabasıydı.
Zetter, bunun muhtemelen ironik olmadığını belirtti. DHS yeni siber güvenlik gereksinimlerini açıkladı Colonial Pipeline saldırısından iki ay sonra kritik boru hatlarına sahip olanlar ve işletenler için. “Sömürge Boru Hattı’nı dövmek istemiyorum – bunlar sadece uygun bir örnek, çünkü saldırı çok önemliydi” dedi. “Ancak diğer kritik altyapı aynı durumda veya daha kötü durumda.”
