Kaspersky ICS CERT, biroldukça Doğu Avrupa ülkesinde ve Afganistan’da askeri-endüstriyel kompleks işletmelere ve kamu kurumlarına yönelik gayeli bir hücum dalgası tespit etti. Siber hatalılar, endüstriyel casusluk hedefiyle kurbanların tüm BT altyapısının denetimini ele geçirmeyi başardılar.
Ocak 2022’de Kaspersky araştırmacıları, askeri kuruluşlara ve kamu kuruluşlarına yönelik birkaç gelişmiş akına şahit oldu. Atakların temel gayesi, şirketlerin özel detaylarıne erişmek ve BT sistemlerini denetim altına almaktı. Saldırganlar tarafınca kullanılan makûs hedefli yazılım, Çince konuşan bir APT kümesi olan TA428 APT tarafınca dağıtılana benziyordu.
Saldırganlar, kimileri e-postaların gönderildiği sırada kamuya açıklanmamış olan kuruluşlara özel sırlar içeren, ihtimamla hazırlanmış kimlik avı e-postaları göndererek kurumsal ağlara sızdı. Bu, saldırganların kasıtlı olarak taarruzlara hazırlandıklarını ve maksatlarını önce seçtiklerini gösteriyor. Kimlik avı e-postaları, saldırganın rastgele bir aktiflik olmadan rastgele kod yürütmesine imkan tanıyan bir güvenlik açığından yararlanmak için berbat emelli kod içeren bir Microsoft Word evrakı içeriyordu. Kelam konusu güvenlik açığı, Microsoft Office’in bir bileşeni olan Microsoft Denklem Düzenleyicisi’nin eski sürümlerinde bulunuyor.
Saldırganlar ayrıyeten tıpkı anda altı farklı art kapı kullandılar. Bunu berbat maksatlı programlardan birinin güvenlik tahlili tarafınca tespit edilip kaldırılması durumunda virüslü sistemlerle ek bağlantı kanalları kurmak için yaptılar. Bu art kapılar, virüslü sistemleri denetim etmek ve bâtın bilgileri toplamak için kapsamlı fonksiyonellik sağladı.
Saldırının son kademesi, tesir alanı denetleyicisini ele geçirmeyi ve kuruluşun tüm iş istasyonları ve sunucularının tam denetimini ele geçirmeyi içeriyordu. Hatta olaylardan birinde siber güvenlik tahlilleri denetim merkezini bile ele geçirdiler. Tesir alanı yöneticisi ayrıcalıkları ve Active Directory’ye erişim kazandıktan daha sonra saldırganlar, kuruluşların keyfi kullanıcı hesaplarını taklit etmek ve atağa uğrayan kuruluşun hassas bilgilerini ve öbür evrakları aramak için “altın bilet” ismi verilen temel saldırıyı gerçekleştirdiler.
Kaspersky ICS CERT Güvenlik Uzmanı Vyacheslav Kopeytsev, şunları söylüyor: “Altın bilet hücumları, Windows 2000’in kullanıma sunulmasından bu yana kullanılan var iseyılan kimlik doğrulama protokolünden yararlanıyor. Kerberos Ticket Granting Tickets (TGTs) kurumsal ağ ortasında taklit edilerek, saldırganlar ağa ilişkin rastgele bir hizmete bağımsız olarak erişmek mümkün. Sonuç olarak bundan korunmak için sadece parolaları değiştirmek yahut güvenliği ihlal edilmiş hesapları engellemek kâfi olmayacaktır. Tavsiyemiz, tüm kuşkulu aktiflikleri dikkatlice denetim etmeniz ve muteber güvenlik tahlillerine yönelmenizdir.”
Kaspersky ICS CERT üzerinde akın hakkında daha fazla bilgi edinebilirsiniz.
ICS bilgisayarlarınızı çeşitli tehditlerden korumak için Kaspersky uzmanları kurumlara şunları öneriyor:
Ocak 2022’de Kaspersky araştırmacıları, askeri kuruluşlara ve kamu kuruluşlarına yönelik birkaç gelişmiş akına şahit oldu. Atakların temel gayesi, şirketlerin özel detaylarıne erişmek ve BT sistemlerini denetim altına almaktı. Saldırganlar tarafınca kullanılan makûs hedefli yazılım, Çince konuşan bir APT kümesi olan TA428 APT tarafınca dağıtılana benziyordu.
Saldırganlar, kimileri e-postaların gönderildiği sırada kamuya açıklanmamış olan kuruluşlara özel sırlar içeren, ihtimamla hazırlanmış kimlik avı e-postaları göndererek kurumsal ağlara sızdı. Bu, saldırganların kasıtlı olarak taarruzlara hazırlandıklarını ve maksatlarını önce seçtiklerini gösteriyor. Kimlik avı e-postaları, saldırganın rastgele bir aktiflik olmadan rastgele kod yürütmesine imkan tanıyan bir güvenlik açığından yararlanmak için berbat emelli kod içeren bir Microsoft Word evrakı içeriyordu. Kelam konusu güvenlik açığı, Microsoft Office’in bir bileşeni olan Microsoft Denklem Düzenleyicisi’nin eski sürümlerinde bulunuyor.
Saldırganlar ayrıyeten tıpkı anda altı farklı art kapı kullandılar. Bunu berbat maksatlı programlardan birinin güvenlik tahlili tarafınca tespit edilip kaldırılması durumunda virüslü sistemlerle ek bağlantı kanalları kurmak için yaptılar. Bu art kapılar, virüslü sistemleri denetim etmek ve bâtın bilgileri toplamak için kapsamlı fonksiyonellik sağladı.
Saldırının son kademesi, tesir alanı denetleyicisini ele geçirmeyi ve kuruluşun tüm iş istasyonları ve sunucularının tam denetimini ele geçirmeyi içeriyordu. Hatta olaylardan birinde siber güvenlik tahlilleri denetim merkezini bile ele geçirdiler. Tesir alanı yöneticisi ayrıcalıkları ve Active Directory’ye erişim kazandıktan daha sonra saldırganlar, kuruluşların keyfi kullanıcı hesaplarını taklit etmek ve atağa uğrayan kuruluşun hassas bilgilerini ve öbür evrakları aramak için “altın bilet” ismi verilen temel saldırıyı gerçekleştirdiler.
Kaspersky ICS CERT Güvenlik Uzmanı Vyacheslav Kopeytsev, şunları söylüyor: “Altın bilet hücumları, Windows 2000’in kullanıma sunulmasından bu yana kullanılan var iseyılan kimlik doğrulama protokolünden yararlanıyor. Kerberos Ticket Granting Tickets (TGTs) kurumsal ağ ortasında taklit edilerek, saldırganlar ağa ilişkin rastgele bir hizmete bağımsız olarak erişmek mümkün. Sonuç olarak bundan korunmak için sadece parolaları değiştirmek yahut güvenliği ihlal edilmiş hesapları engellemek kâfi olmayacaktır. Tavsiyemiz, tüm kuşkulu aktiflikleri dikkatlice denetim etmeniz ve muteber güvenlik tahlillerine yönelmenizdir.”
Kaspersky ICS CERT üzerinde akın hakkında daha fazla bilgi edinebilirsiniz.
ICS bilgisayarlarınızı çeşitli tehditlerden korumak için Kaspersky uzmanları kurumlara şunları öneriyor:
- Kuruluş ağının modülü olan işletim sistemlerini ve uygulama yazılımını tertipli olarak güncelleyin. Güvenlik düzeltmelerini ve yamalarını, kullanılabilir oldukları anda BT ve OT ağ ekipmanlarına uygulayın.
- Olası güvenlik açıklarını belirlemek ve ortadan kaldırmak için BT ve OT sistemlerinin sistemli güvenlik kontrollerini gerçekleştirin.
- Teknolojik süreçleri ve ana kurumsal varlıkları potansiyel olarak tehdit eden akınlara karşı daha uygun müdafaa için ICS ağ trafiği izleme, tahlil ve algılama tahlillerini kullanın.
- Yeni ve gelişmiş makûs maksatlı tekniklere cevabı güzelleştirmek için BT güvenlik takımları ve OT mühendisleri için özel güvenlik eğitimi uygulayın.
- Endüstriyel denetim sistemlerini korumaktan sorumlu güvenlik takımına yeni tehdit istihbaratı sağlayın. ICS Tehdit İstihbarat Raporlama hizmetimiz, mevcut tehditler ve hücum vektörleri ile OT ve endüstriyel denetim sistemlerindeki en savunmasız ögeler ve bunların nasıl azaltılacağı hakkında bilgi sağlar.
- Sektör açısından kritik tüm sistemler için kapsamlı müdafaa sağlamak üzere OT uç noktaları ve ağlarınızda Kaspersky Industrial CyberSecurity üzere güvenlik tahlillerini kullanın.
- BT altyapınızı da koruyun. Entegre Uç Nokta Güvenliği, kurumsal uç noktaları korur ve otomatik tehdit algılama ve karşılık yetenekleri sağlar