Kaspersky ICS CERT, birçok Doğu Avrupa ülkesinde ve Afganistan'da askeri-endüstriyel kompleks işletmelere ve kamu kurumlarına yönelik gayeli bir taarruz dalgası tespit etti. Siber hatalılar, endüstriyel casusluk maksadıyla kurbanların tüm BT altyapısının denetimini ele geçirmeyi başardılar.
Ocak 2022'de Kaspersky araştırmacıları, askeri kuruluşlara ve kamu kuruluşlarına yönelik birkaç gelişmiş akına şahit oldu. Taarruzların temel maksadı, şirketlerin özel bilgilerine erişmek ve BT sistemlerini denetim altına almaktı. Saldırganlar tarafından kullanılan makus hedefli yazılım, Çince konuşan bir APT kümesi olan TA428 APT tarafından dağıtılana benziyordu.
Saldırganlar, kimileri e-postaların gönderildiği sırada kamuya açıklanmamış olan kuruluşlara özel sırlar içeren, itinayla hazırlanmış kimlik avı e-postaları göndererek kurumsal ağlara sızdı. Bu, saldırganların kasıtlı olarak ataklara hazırlandıklarını ve gayelerini evvelce seçtiklerini gösteriyor. Kimlik avı e-postaları, saldırganın rastgele bir aktiflik olmadan rastgele kod yürütmesine imkan tanıyan bir güvenlik açığından yararlanmak için makûs emelli kod içeren bir Microsoft Word evrakı içeriyordu. Kelam konusu güvenlik açığı, Microsoft Office'in bir bileşeni olan Microsoft Denklem Düzenleyicisi'nin eski sürümlerinde bulunuyor.
Saldırganlar ayrıyeten tıpkı anda altı farklı art kapı kullandılar. Bunu berbat maksatlı programlardan birinin güvenlik tahlili tarafından tespit edilip kaldırılması durumunda virüslü sistemlerle ek irtibat kanalları kurmak için yaptılar. Bu art kapılar, virüslü sistemleri denetim etmek ve saklı bilgileri toplamak için kapsamlı fonksiyonellik sağladı.
Saldırının son basamağı, tesir alanı denetleyicisini ele geçirmeyi ve kuruluşun tüm iş istasyonları ve sunucularının tam denetimini ele geçirmeyi içeriyordu. Hatta hadiselerden birinde siber güvenlik tahlilleri denetim merkezini bile ele geçirdiler. Tesir alanı yöneticisi ayrıcalıkları ve Active Directory'ye erişim kazandıktan sonra saldırganlar, kuruluşların keyfi kullanıcı hesaplarını taklit etmek ve taarruza uğrayan kuruluşun hassas datalarını ve öteki evrakları aramak için “altın bilet” ismi verilen temel saldırıyı gerçekleştirdiler.
Kaspersky ICS CERT Güvenlik Uzmanı Vyacheslav Kopeytsev, şunları söylüyor: “Altın bilet hücumları, Windows 2000'in kullanıma sunulmasından bu yana kullanılan varsayılan kimlik doğrulama protokolünden yararlanıyor. Kerberos Ticket Granting Tickets (TGTs) kurumsal ağ içinde taklit edilerek, saldırganlar ağa ilişkin rastgele bir hizmete bağımsız olarak erişmek mümkün. Sonuç olarak bundan korunmak için sırf parolaları değiştirmek yahut güvenliği ihlal edilmiş hesapları engellemek kâfi olmayacaktır. Tavsiyemiz, tüm kuşkulu aktiflikleri dikkatlice denetim etmeniz ve emniyetli güvenlik tahlillerine yönelmenizdir.”
Kaspersky ICS CERT üzerinde akın hakkında daha fazla bilgi edinebilirsiniz.
ICS bilgisayarlarınızı çeşitli tehditlerden korumak için Kaspersky uzmanları kurumlara şunları öneriyor:
- Kuruluş ağının modülü olan işletim sistemlerini ve uygulama yazılımını sistemli olarak güncelleyin. Güvenlik düzeltmelerini ve yamalarını, kullanılabilir oldukları anda BT ve OT ağ ekipmanlarına uygulayın.
- Olası güvenlik açıklarını belirlemek ve ortadan kaldırmak için BT ve OT sistemlerinin tertipli güvenlik kontrollerini gerçekleştirin.
- Teknolojik süreçleri ve ana kurumsal varlıkları potansiyel olarak tehdit eden taarruzlara karşı daha yeterli muhafaza için ICS ağ trafiği izleme, tahlil ve algılama tahlillerini kullanın.
- Yeni ve gelişmiş makus emelli tekniklere karşılığı düzgünleştirmek için BT güvenlik grupları ve OT mühendisleri için özel güvenlik eğitimi uygulayın.
- Endüstriyel denetim sistemlerini korumaktan sorumlu güvenlik takımına aktüel tehdit istihbaratı sağlayın. ICS Tehdit İstihbarat Raporlama hizmetimiz, mevcut tehditler ve hücum vektörleri ile OT ve endüstriyel denetim sistemlerindeki en savunmasız ögeler ve bunların nasıl azaltılacağı hakkında bilgi sağlar.
- Sektör açısından kritik tüm sistemler için kapsamlı müdafaa sağlamak üzere OT uç noktaları ve ağlarınızda Kaspersky Industrial CyberSecurity üzere güvenlik tahlillerini kullanın.
- BT altyapınızı da koruyun. Entegre Uç Nokta Güvenliği, kurumsal uç noktaları korur ve otomatik tehdit algılama ve karşılık yetenekleri sağlar