Endüstriyel kuruluşları gaye alan hücumlar, karmaşık yapıları ve kritik ehemmiyet taşıyan şirketlere odaklanmaları nedeniyle siber güvenlik kolunun dikkatini her vakit üzerinde topluyor. Bu çeşit şirketlerin operasyonlarındaki rastgele bir kesinti, endüstriyel casusluktan büyük finansal kayıplara kadar istenmeyen sonuçlar doğurabiliyor.
İnceleme altına alınan son akınlar da bundan farklı değildi. Birinci atak vektörü olarak kullanılan kimlik avı e-postalarının, kurbanların kendi lisanlarında hususî olarak hazırlandığı belirlendi. Atakta kullanılan zararlı yazılım, lakin işletim sisteminin lisanıyla kimlik avı e-postasının lisanı aynıysa harekete geçiyordu. Örneğin Japonya’daki bir şirkete düzenlenen hücumda, kimlik avı e-postasındaki metin ve zararlı bir makro içeren Microsoft Office evrakı Japonca yazılmıştı. Başkaca, zararlı yazılım modülünün açılması için işletim sisteminin de Japonca olması gerekiyordu.
Yapılan tahlillerde, saldırganların ele geçirilen bir sistemde saklı Windows hesaplarına ilişkin kimlik doğrulama donelerini çalmak için Mimikatz aracından yararlandıkları tespit edildi. Saldırganlar topladıkları bu datalarla kurumsal ağdaki öbür sistemlere erişip saldırıyı geliştirebiliyorlardı. Saldırganlar başkan salahiyetlerine sahip hesaplara eriştiğinde ise çok daha tehlikeli durumlar yaşanabiliyordu.
Kaspersky güvenlik tahlilleri, tespit edilen tüm vakalarda zararlı yazılımı engellemeyi başararak saldırganların faaliyetlerine son verdi. Bu nedenle, saldırganların asıl gayesi şimdi bilinmiyor. Kaspersky ICS CERT mütehassısları yeni emsal vakaları izlemeye devam ediyor.
Kaspersky Güvenlik Bilirkişisi Vyacheslav Kopeytsev, “Bu akın, saldırganların standart olmayan teknik usuller kullanmaları nedeniyle dikkat çekti. Örneğin, görsel belgesinin içine kodlanan zararlı yazılım modülü steganografi formülüyle gizleniyordu ve görselin kendisi de yasal web kaynaklarında mahal alıyordu. Tüm bunlar bu zararlı yazılımı, ağ trafiğini izleyen ve denetleyen araçlarla tespit etmeyi neredeyse imkansız hale getiriyordu. Teknik açıdan bakıldığında bu faaliyetin, yasal görsel kaynaklarına verilen erişimden hiçbir farkı yok. Atakların amaçlı olması da kullanılan sistemlerin karmaşık yapısını gözler önüne seriyor. Kurbanların arasında endüstriyel kuruluşların tedarikçilerinin olması tasa verici. Tedarikçi şirketlerin çalışanlarına ilişkin kimlik doğrulama olguları istenilmeyen niyetli kimselerin eline geçerse başta kapalı donelerin çalınması ve kullanılan uzaktan idare araçları üzerinden sanayi şirketlerine akın düzenlenmesi olmak üzere birçok olumsuz sonuç doğabilir.” dedi.
Kaspersky Endüstriyel Siber Güvenlik Tahlilleri Yöneticisi Anton Shipulin, “Tedarikçilere yönelik hücumlar bir sefer daha gösterdi ki hem kurumsal hem de operasyonel teknoloji ağlarındaki iş istasyonlarının ve sunucuların müdafaa altına alınması kritik ehemmiyet taşıyor. Bu vakadakine misal taarruzları önlemek için güçlü uç nokta güvenliği ehil olsa da biz endüstriyel tesislerin siber güvenliğinde en kapsamlı yaklaşımın uygulanmasını tavsiye ediyoruz. Tedarikçiler üzerinden yöneltilen taarruzlar, OT ağı da dahil olmak üzere kurumsal ağlara çok farklı noktalardan giriş yapabiliyor. Son taarruzların hedefi şimdi anlaşılan olmasa da saldırganların tesislerdeki kritik sistemlere erişme potansiyeline sahip olduğunu kabul edebiliriz. Çağdaş ağ takibi, anormal durum ve akın tespiti prosedürleri endüstriyel denetim sistemlerine ve ekipmanlarına yönelik akınların belirtilerini yakalamaya yardımcı olarak muhtemel vakaları önleyebilir.” dedi.
Taarruz riskini azaltmak için sanayi şirketlerine şunlar tavsiye ediliyor:
- Kurumsal şirketlerdeki çalışanlara inançlı e-posta tasarrufunu anlatan ve münhasıran kimlik avı e-postalarını fark etmeyi öğreten eğitimler verin.
- Microsoft Office evraklarında makro tasarrufunu kısıtlayın.
- Mümkünse PowerShell kodlarının çalışmasını kısıtlayın.
- Microsoft Office tatbikleri tarafından açılışta başlatılan PowerShell süreçlerine dikkat edin. Mümkünse programların SeDebugPrivilege salahiyetleri almasını kısıtlayın.
- Kurumsal uç noktalara, güvenlik siyasetlerini tek bir merkezden yönetme imkanı veren, aktüel antivirüs done tabanlarına ve yazılım modüllerine sahip, bir güvenlik tahlili kullanın.
- Kritik endüstriyel sistemlerin kapsamlı himayesi için OT uç noktalarına ve ağlarına yönelik güvenlik tahlilleri kullanın.
- Başkan salahiyetlerine sahip hesapları sadece gerekli olduğunda kullanın. Bu hesapları kullandıktan sonra sistemi tekrar başlatarak kimlik doğrulama aşamasına geri dönün.
- Karmaşık parolalar kullanılmasını ve parolaların tertipli olarak değiştirilmesini sağlayan siyasetler belirleyin.
- Sisteme sızıldığından kuşku ettiğinizde virüs taraması yapın ve etkilenen sistemlere giriş yapan tüm hesapların parolalarını değiştirin.
