2020’nin başlarında birçok bölgede endüstriyel kuruluşları hedef alan saldırılar tespit edildi.
Kaspersky ICS CERT’in bulgularına göre bu saldırılar en çok Japonya, İtalya, Almanya ve İngiltere’deki sistemleri hedef aldı. Hedefler arasında endüstri şirketlerinin ekipman ve yazılım tedarikçileri yer aldı. Yapılan araştırmalar, saldırganların kötü amaçlı Microsoft Office belgelerinden ve PowerShell kodlarından yararlandığını gösterdi. Ayrıca saldırganlar, zararlı yazılımlarının tespit edilip incelenmesini zorlaştıran yöntemler de kullandı. Bu yöntemler arasında, ortada herhangi bir veri olduğunu gerçeğini bile gizleyebilen steganografi tekniği de bulunuyordu.
Endüstriyel kuruluşları hedef alan saldırılar, karmaşık yapıları ve kritik önem taşıyan şirketlere odaklanmaları nedeniyle siber güvenlik sektörünün dikkatini her zaman üzerinde topluyor. Bu tür şirketlerin operasyonlarındaki herhangi bir kesinti, endüstriyel casusluktan büyük finansal kayıplara kadar istenmeyen sonuçlar doğurabiliyor.
İnceleme altına alınan son saldırılar da bundan farklı değildi. İlk saldırı vektörü olarak kullanılan kimlik avı e-postalarının, kurbanların kendi dillerinde özel olarak hazırlandığı belirlendi. Saldırıda kullanılan zararlı yazılım, ancak işletim sisteminin diliyle kimlik avı e-postasının dili aynıysa harekete geçiyordu. Örneğin Japonya’daki bir şirkete düzenlenen saldırıda, kimlik avı e-postasındaki metin ve zararlı bir makro içeren Microsoft Office belgesi Japonca yazılmıştı. Ayrıca, zararlı yazılım modülünün açılması için işletim sisteminin de Japonca olması gerekiyordu.
Yapılan analizlerde, saldırganların ele geçirilen bir sistemde saklı Windows hesaplarına ait kimlik doğrulama verilerini çalmak için Mimikatz aracından yararlandıkları tespit edildi. Saldırganlar topladıkları bu verilerle kurumsal ağdaki diğer sistemlere erişip saldırıyı geliştirebiliyorlardı. Saldırganlar yönetici yetkilerine sahip hesaplara eriştiğinde ise çok daha tehlikeli durumlar yaşanabiliyordu.
Kaspersky güvenlik çözümleri, tespit edilen tüm vakalarda zararlı yazılımı engellemeyi başararak saldırganların faaliyetlerine son verdi. Bu nedenle, saldırganların asıl amacı henüz bilinmiyor. Kaspersky ICS CERT uzmanları yeni benzer vakaları izlemeye devam ediyor. Böyle bir saldırıyla karşılaştığınızda Kaspersky web sitesindeki özel formu doldurarak bunu bildirebilirsiniz.
Kaspersky Güvenlik Uzmanı Vyacheslav Kopeytsev, “Bu saldırı, saldırganların standart olmayan teknik yöntemler kullanmaları nedeniyle dikkat çekti. Örneğin, görsel dosyasının içine kodlanan zararlı yazılım modülü steganografi yöntemiyle gizleniyordu ve görselin kendisi de yasal web kaynaklarında yer alıyordu. Tüm bunlar bu zararlı yazılımı, ağ trafiğini izleyen ve denetleyen araçlarla tespit etmeyi neredeyse imkansız hale getiriyordu. Teknik açıdan bakıldığında bu faaliyetin, yasal görsel kaynaklarına verilen erişimden hiçbir farkı yok. Saldırıların hedefli olması da kullanılan yöntemlerin karmaşık yapısını gözler önüne seriyor. Kurbanların arasında endüstriyel kuruluşların tedarikçilerinin olması endişe verici. Tedarikçi şirketlerin çalışanlarına ait kimlik doğrulama verileri kötü niyetli kişilerin eline geçerse başta gizli verilerin çalınması ve kullanılan uzaktan yönetim araçları üzerinden endüstri şirketlerine saldırı düzenlenmesi olmak üzere birçok olumsuz sonuç doğabilir.” dedi.
Kaspersky Endüstriyel Siber Güvenlik Çözümleri Müdürü Anton Shipulin, “Tedarikçilere yönelik saldırılar bir kez daha gösterdi ki hem kurumsal hem de operasyonel teknoloji ağlarındaki iş istasyonlarının ve sunucuların koruma altına alınması kritik önem taşıyor. Bu vakadakine benzer saldırıları önlemek için güçlü uç nokta güvenliği yeterli olsa da biz endüstriyel tesislerin siber güvenliğinde en kapsamlı yaklaşımın uygulanmasını tavsiye ediyoruz. Tedarikçiler üzerinden yöneltilen saldırılar, OT ağı da dahil olmak üzere kurumsal ağlara çok farklı noktalardan giriş yapabiliyor. Son saldırıların amacı henüz belli olmasa da saldırganların tesislerdeki kritik sistemlere erişme potansiyeline sahip olduğunu kabul edebiliriz. Modern ağ takibi, anormal durum ve saldırı tespiti yöntemleri endüstriyel kontrol sistemlerine ve ekipmanlarına yönelik saldırıların belirtilerini yakalamaya yardımcı olarak olası vakaları önleyebilir.” dedi.
Saldırı riskini azaltmak için endüstri şirketlerine şunlar tavsiye ediliyor:
- Kurumsal şirketlerdeki çalışanlara güvenli e-posta kullanımını anlatan ve özellikle kimlik avı e-postalarını fark etmeyi öğreten eğitimler verin.
- Microsoft Office belgelerinde makro kullanımını kısıtlayın.
- Mümkünse PowerShell kodlarının çalışmasını kısıtlayın.
- Microsoft Office uygulamaları tarafından açılışta başlatılan PowerShell işlemlerine dikkat edin. Mümkünse programların SeDebugPrivilege yetkileri almasını kısıtlayın.
- Kurumsal uç noktalara, güvenlik politikalarını tek bir merkezden yönetme imkanı veren, güncel antivirüs veri tabanlarına ve yazılım modüllerine sahip, Kaspersky Endpoint Security for Business gibi bir güvenlik çözümü kullanın.
- Kritik endüstriyel sistemlerin kapsamlı koruması için KICS for Nodes ve KICS for Networks gibi OT uç noktalarına ve ağlarına yönelik güvenlik çözümleri kullanın.
- Yönetici yetkilerine sahip hesapları yalnızca gerekli olduğunda kullanın. Bu hesapları kullandıktan sonra sistemi yeniden başlatarak kimlik doğrulama aşamasına geri dönün.
- Karmaşık parolalar kullanılmasını ve parolaların düzenli olarak değiştirilmesini sağlayan politikalar belirleyin.
- Sisteme sızıldığından şüphe ettiğinizde virüs taraması yapın ve etkilenen sistemlere giriş yapan tüm hesapların parolalarını değiştirin.