Bina otomasyonu dalına yönelik siber ataklar

Sanayi kuruluşlarına yönelik hücumlar, üretimin kesintiye uğraması ve neden olduğu mali kayıplar nedeniyle her vakit büyük bir yıkım potansiyeline sahiptir. Buna ek olarak endüstriyel işletmelere yönelik taarruzlar sadece finansal yararı değil, birebir vakitte siber casusluğu amaçlayan güçlü kaynaklara sahip gelişmiş tehdit aktörlerinin iştirakiyle daha önemli ve öncelikli hale geldi. 

Geçtiğimiz kış, ilkbahar ve yazın başlarında, hücumlara en yatkın sanayiler bina otomasyonu, petrol ve gaz oldu. Pandeminin bir sonucu olarak hali hazırda maruz kalınan büyük mali kayıplar göz önüne alındığında, petrol ve gaz sanayisine yönelik hücumlar büyük yıkıcılık potansiyeli taşıyor. Makûs emelli yazılımların engellendiği ICS bilgisayarlarının yüzdesi 2019’un ikinci yarısında %38 iken, bu oran bina otomasyon sanayisinde 2020’nin birinci yarısında %39,9’a, petrol ve gaz sanayisinde %37,8’e yükseldi. 

Bina otomasyon sistemleri genel olarak ataklara daha sık maruz kalma eğilimi taşıyor. Bunlar ekseriyetle kurumsal ağlara ve internete bağlı oldukları için klâsik ICS bilgisayarlardan daha geniş bir akın yüzeyine sahipler. Birebir vakitte bu sistemler çoğunlukla yüklenici kuruluşlara ilişkin olmalarına karşın her vakit kuruluşun kurumsal bilgi güvenliği grubu tarafından yönetilmiyor. Bu da onları daha kolay bir maksat haline getiriyor. 

Petrol ve gaz sanayisinde taarruza uğrayan ICS bilgisayarlarının yüzdesindeki artış, bilhassa Python ve PowerShell komut evrakı lisanıyla yazılmış çeşitli solucanların (virüslü aygıtta kendi kendini kopyalayan makûs gayeli programlar) geliştirilmesine dayanıyor. Bu solucanlar, Mimikatz yardımcı programının farklı sürümlerini kullanarak sistem belleğinden kimlik doğrulama bilgilerini kopyalayabiliyor. Mart ayının sonundan Haziran 2020’nin ortasına kadar bilhassa Çin ve Orta Doğu’da bu solucanlardan çok sayıda örnek tespit edildi. 

Bina otomasyonu, petrol ve gaz sanayilerinde hücuma uğrayan ICS sistemlerinin yüzdesindeki artış 2020’nin birinci yarısında öne çıkarken, öteki birçok sanayide hücuma uğrayan sistemlerin yüzdesi düştü. Bu durum, saldırganların odaklarını toplu ataklardan art kapılara (virüslü aygıt üzerinde uzaktan denetim sağlayan tehlikeli Truva atlarına), casus yazılımlara (verileri çalmak için tasarlanmış berbat maksatlı programlara) ve fidye yazılımı taarruzları dahil başka amaçlı tehditlere kaydırdığını gösteriyor. 

Bu periyotta ICS bilgisayarlarında algılanan ve engellenen .NET platformu üzerine inşa edilmiş art kapı ve casus yazılım ailesi bariz halde arttı. Fidye yazılımından etkilenen ICS bilgisayarlarının yüzdesi, 2020’nin birinci yarısında, tüm kesimlerde tıbbi tesislere ve endüstriyel şirketlere yönelik bir dizi akının yaşandığı birinci yarıyılda 2019’a kıyasla bir ölçü artış gösterdi. Sanayi şirketleri ayrıyeten gelişmiş kalıcı tehdit (APT) aktörleri tarafından yapılan karmaşık atakların kurbanı oldu. 

Birden fazla dalda taarruza uğrayan ICS bilgisayarlarının yüzdesinin düştüğüne dikkat çeken Kaspersky Güvenlik Uzmanı Evgeny Goncharov, bununla birlikte hala uğraş edilmesi gereken tehditler olduğunu söylüyor. Goncharov, “Saldırılar gayeli ve karmaşıksa, daha az sıklıkta meydana gelseler bile kıymetli hasara neden olma potansiyeli artar” diyor. “Uzaktan çalışmaya ve konuttan kurumsal sistemlerde oturum açmaya zorlanan birçok kuruluşta ICS doğal olarak siber tehditlere daha açık hale geldi. Mümkün bir hücuma karşılık vermesi gereken işçinin savunma alanı genişlerken sayıları azaldı. Bu da atakların daha yıkıcı olabileceği manasına geliyor. Petrol, gaz ve bina otomasyon altyapılarının saldırganlar ortasında tanınan bir amaç haline geldiği göz önüne alındığında, bu sistemlere sahip olanların ek güvenlik tedbirleri alması çok kıymetli.”