Kaspersky ICS CERT, birçok Doğu Avrupa ülkesinde ve Afganistan’da askeri-endüstriyel kompleks işletmelere ve kamu kurumlarına yönelik gayeli bir taarruz dalgası tespit etti. Siber hatalılar, endüstriyel casusluk maksadıyla kurbanların tüm BT altyapısının denetimini ele geçirmeyi başardılar.
Ocak 2022’de Kaspersky araştırmacıları, askeri kuruluşlara ve kamu kuruluşlarına yönelik birkaç gelişmiş akına şahit oldu. Hücumların temel hedefi, şirketlerin özel bilgilerine erişmek ve BT sistemlerini denetim altına almaktı. Saldırganlar tarafından kullanılan makûs gayeli yazılım, Çince konuşan bir APT kümesi olan TA428 APT tarafından dağıtılana benziyordu.
Saldırganlar, kimileri e-postaların gönderildiği sırada kamuya açıklanmamış olan kuruluşlara özel sırlar içeren, ihtimamla hazırlanmış kimlik avı e-postaları göndererek kurumsal ağlara sızdı. Bu, saldırganların kasıtlı olarak taarruzlara hazırlandıklarını ve gayelerini evvelce seçtiklerini gösteriyor. Kimlik avı e-postaları, saldırganın rastgele bir aktiflik olmadan rastgele kod yürütmesine imkan tanıyan bir güvenlik açığından yararlanmak için makûs maksatlı kod içeren bir Microsoft Word dokümanı içeriyordu. Kelam konusu güvenlik açığı, Microsoft Office’in bir bileşeni olan Microsoft Denklem Düzenleyicisi’nin eski sürümlerinde bulunuyor.
Saldırganlar ayrıyeten birebir anda altı farklı art kapı kullandılar. Bunu makus gayeli programlardan birinin güvenlik tahlili tarafından tespit edilip kaldırılması durumunda virüslü sistemlerle ek irtibat kanalları kurmak için yaptılar. Bu art kapılar, virüslü sistemleri denetim etmek ve bilinmeyen dataları toplamak için kapsamlı fonksiyonellik sağladı.
Saldırının son basamağı, tesir alanı denetleyicisini ele geçirmeyi ve kuruluşun tüm iş istasyonları ve sunucularının tam denetimini ele geçirmeyi içeriyordu. Hatta olaylardan birinde siber güvenlik tahlilleri denetim merkezini bile ele geçirdiler. Tesir alanı yöneticisi ayrıcalıkları ve Active Directory’ye erişim kazandıktan sonra saldırganlar, kuruluşların keyfi kullanıcı hesaplarını taklit etmek ve hücuma uğrayan kuruluşun hassas bilgilerini ve öteki evrakları aramak için “altın bilet” ismi verilen temel saldırıyı gerçekleştirdiler.
Kaspersky ICS CERT Güvenlik Uzmanı Vyacheslav Kopeytsev, şunları söylüyor: “Altın bilet atakları, Windows 2000’in kullanıma sunulmasından bu yana kullanılan varsayılan kimlik doğrulama protokolünden yararlanıyor. Kerberos Ticket Granting Tickets (TGTs) kurumsal ağ içinde taklit edilerek, saldırganlar ağa ilişkin rastgele bir hizmete bağımsız olarak erişmek mümkün. Sonuç olarak bundan korunmak için sadece parolaları değiştirmek yahut güvenliği ihlal edilmiş hesapları engellemek kâfi olmayacaktır. Tavsiyemiz, tüm kuşkulu aktiflikleri dikkatlice denetim etmeniz ve sağlam güvenlik tahlillerine yönelmenizdir.”
Kaspersky ICS CERT üzerinde hücum hakkında daha fazla bilgi edinebilirsiniz.
ICS bilgisayarlarınızı çeşitli tehditlerden korumak için Kaspersky uzmanları kurumlara şunları öneriyor:
- Kuruluş ağının kesimi olan işletim sistemlerini ve uygulama yazılımını tertipli olarak güncelleyin. Güvenlik düzeltmelerini ve yamalarını, kullanılabilir oldukları anda BT ve OT ağ ekipmanlarına uygulayın.
- Olası güvenlik açıklarını belirlemek ve ortadan kaldırmak için BT ve OT sistemlerinin nizamlı güvenlik kontrollerini gerçekleştirin.
- Teknolojik süreçleri ve ana kurumsal varlıkları potansiyel olarak tehdit eden akınlara karşı daha yeterli müdafaa için ICS ağ trafiği izleme, tahlil ve algılama tahlillerini kullanın.
- Yeni ve gelişmiş makus emelli tekniklere cevabı uygunlaştırmak için BT güvenlik takımları ve OT mühendisleri için özel güvenlik eğitimi uygulayın.
- Endüstriyel denetim sistemlerini korumaktan sorumlu güvenlik grubuna şimdiki tehdit istihbaratı sağlayın. ICS Tehdit İstihbarat Raporlama hizmetimiz, mevcut tehditler ve hücum vektörleri ile OT ve endüstriyel denetim sistemlerindeki en savunmasız ögeler ve bunların nasıl azaltılacağı hakkında bilgi sağlar.
- Sektör açısından kritik tüm sistemler için kapsamlı müdafaa sağlamak üzere OT uç noktaları ve ağlarınızda Kaspersky Industrial CyberSecurity üzere güvenlik tahlillerini kullanın.
- BT altyapınızı da koruyun. Entegre Uç Nokta Güvenliği, kurumsal uç noktaları korur ve otomatik tehdit algılama ve cevap yetenekleri sağlar
Kaynak: (BYZHA) – Beyaz Haber Ajansı
