ABD hükümeti Çarşamba günü, endüstriyel kontrol sistemlerine (ICS) ve denetleyici kontrol ve veri toplama (SCADA) cihazlarına erişimi sürdürmek için özel kötü amaçlı yazılımlar kullanan ulus devlet aktörleri konusunda uyardı.
“APT aktörleri, ICS/SCADA cihazlarını hedeflemek için ısmarlama araçlar geliştirdi”, birden fazla ABD ajansı dedim bir uyarıda. “Araçlar, operasyonel teknoloji (OT) ağına ilk erişim sağladıklarında, etkilenen cihazları taramalarını, güvenliğini sağlamalarını ve kontrol etmelerini sağlıyor.”
Ortak federal tavsiye, ABD Enerji Bakanlığı (DoE), Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), Ulusal Güvenlik Ajansı (NSA) ve Federal Soruşturma Bürosu (FBI) tarafından sağlanır.
Özel yapım araçlar, Schneider Electric programlanabilir mantık kontrolörlerini (PLC’ler), OMRON Sysmac NEX PLC’leri ve Açık Platform İletişimi Birleşik Mimarisi (OPC UA) sunucularını ayırmak için özel olarak tasarlanmıştır.
Bunun da ötesinde, adı açıklanmayan aktörlerin, ASRock imzalı bir anakart sürücüsünü tehlikeye atan bir açıktan yararlanarak BT ve OT ağları genelinde Windows tabanlı mühendislik iş istasyonlarına sızma yeteneklerine sahip oldukları söyleniyor. bilinen güvenlik açıkları (CVE-2020-15368).
Ajansların amacının, ayrıcalıkları yükseltmek, ağlar içinde yanal olarak hareket etmek ve sıvılaştırılmış doğal gaz (LNG) ve elektrik gücü ortamlarında kritik görev işlevlerini sabote etmek için ICS sistemlerine erişimden yararlanmak olduğunu söyledi.
Kötü amaçlı yazılımları takip eden endüstriyel siber güvenlik şirketi Dragos, “ULAŞILMASI MÜMKÜN OLMAYAN İSTEK2022’nin başından beri, bunu “bir düşmanın hedeflere ve çevreye bağlı olarak aksama, bozulma ve hatta muhtemelen yıkıma neden olmak için kullanabileceği modüler bir ICS saldırı çerçevesi” olarak tanımladı.
Dragos CEO’su Robert M. Lee atfedilen Zararlı araç setinin henüz gerçek dünya saldırılarında kullanılmadığına dair yüksek bir güvenle değerlendiren, CHERNOVITE adlı bir devlet aktörüne kötü amaçlı yazılım, muhtemelen ilk kez “amaçlanan amaç için konuşlandırılmasından *önce* bir endüstriyel siber yetenek bulunmuştur”. Etkileri.”
ULAŞILMASI MÜMKÜN OLMAYAN İSTEK özellikleri hedeflerine ulaşmak için beş bileşenden oluşan bir dizi keşif yapmak, hedef cihazları ele geçirmek, kontrolörlerin yürütme mantığını kurcalamak ve PLC’leri bozmak için etkin bir şekilde “güvenlik, kullanılabilirlik ve endüstriyel bir ortamın kontrolüne” yol açar.
Çok yönlü kötü amaçlı yazılımın, denetleyici uygulamalarını programlamak için üçüncü taraf bir geliştirme ortamı olan ve yalnızca geçen yıl içinde 17 kadar farklı güvenlik açığı içerdiği ortaya çıkarılan CODESYS’ten de yararlandığı bilinmektedir.
Dragos, “Güvenlik kontrolörlerini ve diğer makine otomasyon kontrolörlerini yeniden programlama ve potansiyel olarak devre dışı bırakma yetenekleri, daha sonra acil durum kapatma sistemini devre dışı bırakmak ve ardından çalışma ortamını güvenli olmayan koşullara yönlendirmek için kullanılabilir,” diye uyardı.
Açıklamayla aynı zamana denk gelen, tehdit istihbarat firması Mandiant’ın, Schneider Electric ve Omron’un makine otomasyon cihazlarını hedefleyen “yeni endüstriyel kontrol sistemi (ICS) odaklı saldırı araçları seti” dediği şeyi ortaya çıkaran başka bir raporu.
Adını verdiği devlet destekli kötü amaçlı yazılım KONTROLÖROPC UA, Modbus ve CODESYS gibi endüstriyel ağ protokolleri aracılığıyla “birden fazla endüstride kullanılan farklı makine türlerine gömülü belirli endüstriyel ekipmanlarla etkileşim kurmak” için tasarlanmıştır.
Bununla birlikte, devlet kurumlarının yanı sıra Dragos ve Mandiant’ın kötü amaçlı yazılımı nasıl bulduğu henüz belli değil. Bulgular, Slovak siber güvenlik şirketi ESET’in geçen hafta Ukrayna’da isimsiz bir enerji sağlayıcısına yönelik başarısız bir siber saldırıda Industroyer kötü amaçlı yazılımının yükseltilmiş bir sürümünün kullanımını detaylandırmasından bir gün sonra geldi.
“DENETLEYİCİ [aka PIPEDREAM] son derece nadir ve tehlikeli bir siber saldırı kabiliyetini temsil ediyor” diyen Mandiant, “2017’de bir endüstriyel güvenlik sistemini devre dışı bırakmaya çalışan Triton ile karşılaştırılabilir; 2016 yılında Ukrayna’da elektrik kesintisine neden olan Industroyer; ve 2010 civarında İran nükleer programını sabote eden Stuxnet.”
Potansiyel tehditleri azaltmak ve ICS ve SCADA cihazlarını güvenli hale getirmek için ajanslar, kuruluşları uzaktan erişim için çok faktörlü kimlik doğrulamasını uygulamaya, parolaları periyodik olarak değiştirmeye ve sürekli olarak kötü niyetli göstergeler ve davranışlara karşı tetikte olmaya teşvik ediyor.