Ekim 2021’in ortalarında Kaspersky ICS CERT, birkaç Asya ülkesinde telekomünikasyon, üretim ve ulaşım kuruluşlarına saldıran, Çince konuşan ve evvelce keşfedilmemiş bir tehdit aktörü keşfetti. Birinci taarruz sırasında küme, ShadowPad berbat hedefli yazılımını dağıtmak ve kurbanının bina otomasyon sistemlerine sızmak için MS Exchange güvenlik açığından yararlandı.
Bina otomasyon sistemleri (BAS), elektrik ve ısıtmadan yangın ve güvenliğe kadar bina içindeki tüm işlevleri birbirine bağlıyor ve tek bir denetim merkezinden yönetiliyor. BAS’ın güvenliği ihlal edildiğinde, bilgi güvenliğiyle ilgili olanlar da dahil olmak üzere o kuruluştaki tüm süreçler risk altında oluyor.
Kaspersky ICS CERT uzmanları, Pakistan, Afganistan ve Malezya’daki endüstriyel ve telekomünikasyon dalındaki kuruluşlara yönelik bu biçim taarruzları tespit ediyor. Hücumların eşsiz bir dizi taktik, teknik ve prosedüre (TTP) sahip olması, hücumların ardında tıpkı Çince konuşan tehdit aktörünün olduğu kuşkusunu güçlendiriyor. Tehdit aktörünün bilhassa şirketlerin altyapılarına ilişkin bina otomasyon sistemlerini sızma noktası olarak kullandığına dikkat çekiliyor. Bu APT kümeleri için alışılmadık bir durum. Saldırgan, kelam konusu sistemlerin denetimini ele alarak hücuma uğrayan tertibin daha hassas noktalarına ulaşabiliyor.
Araştırmanın gösterdiği üzere, APT kümesinin ana aracını ShadowPad art kapısı oluşturuyor. Kaspersky, bu makûs emelli yazılımın Çince konuşan çeşitli APT aktörleri tarafından kullanıldığına şahit oluyor. Gözlenen ataklar sırasında ShadowPad art kapısı, legal yazılım kisvesi altında hücuma uğrayan bilgisayarlara indiriliyor. Birden fazla durumda saldıran küme, MS Exchange’deki bilinen bir güvenlik açığından yararlanıyor ve komutları manuel olarak giriyor. Bu, taarruzların yüksek oranda amaçlı olduğuna işaret ediyor.
Kaspersky ICS CERT Güvenlik Uzmanı Kirill Kruglov, şunları söylüyor: “Bina otomasyon sistemleri, ileri seviye tehdit aktörleri için ender amaçlardır. Bununla birlikte bu sistemler son derece kapalı bilgilere açılan bir art kapı vazifesi görebilir ve saldırganlara öteki, daha inançlı altyapı alanlarına erişim imkanı sağlayabilir. Bu cins ataklar son derece süratli geliştiğinden, çok erken kademelerinde tespit edilmeli ve önlenmelidir. Bu nedenle tavsiyemiz, bilhassa amaç alınan kritik bölümlerde bahsi geçen sistemleri daima olarak izlemenizdir.”
Kaspersky’nin ICS CERT web sitesinde otomasyon sistemlerini gaye alan ataklar hakkında daha fazla bilgi edinebilirsiniz.
OT bilgisayarlarınızı çeşitli tehditlerden korumak için Kaspersky uzmanları şunları öneriyor:
- İşletme ağının modülü olan işletim sistemlerini ve uygulama yazılımlarını nizamlı olarak güncelleyiniz. Güvenlik düzeltmelerini ve yamaları kullanılabilir olduklarında OT ağ ekipmanına uygulayınız.
- Olası güvenlik açıklarını belirlemek ve ortadan kaldırmak için OT sistemlerinde tertipli güvenlik kontrolleri yapınız.
- OT sistemlerini ve ana kurumsal varlıkları potansiyel olarak tehdit eden ataklara karşı daha âlâ müdafaa için OT ağ trafiği izleme, tahlil ve algılama tahlillerini kullanınız.
- BT güvenlik takımları ve OT mühendisleri için özel OT güvenlik eğitimleri sağlayın. Bu, yeni ve gelişmiş makûs maksatlı tekniklere karşı karşılığı güzelleştirmek ismine çok değerlidir.
- Endüstriyel denetim sistemlerinin korunmasından sorumlu güvenlik takımına yeni tehdit istihbaratı sağlayınız. ICS Tehdit İstihbarat Raporlama hizmeti, mevcut tehditler ve taarruz vektörlerinin yanı sıra OT’deki en savunmasız ögelere ve bunların nasıl azaltılacağına dair içgörüler sağlıyor.
- Tüm kritik sistemler için kapsamlı müdafaa sağlamak üzere OT uç noktaları ve ağlar için Kaspersky Industrial CyberSecurity üzere güvenlik tahlillerini kullanınız.
- BT altyapınızı koruyunuz. Entegre Uç Nokta Güvenliği, kurumsal uç noktaları koruyor ve otomatikleştirilmiş tehdit algılama ve cevap yetenekleri sağlıyor.
Kaynak: (BYZHA) – Beyaz Haber Ajansı