Kaspersky uzmanları, dünya genelinde 2 binden çok endüstriyel kuruluşa saldıran, süratle gelişen yeni bir casus yazılım serisini ortaya çıkardı. bir hayli ana akım casusluk atağından farklı olarak bu akınlar, ataklardaki gaye sayısının sonlu olması ve her bir makus hedefli mesela hayli kısa ömürlü oluşuyla öne çıkıyor. Çalışmada çalınan bilgilerin satıldığı 25’ten çok pazar yeri belirlendi. Bu ve öteki bulgular yeni Kaspersky ICS CERT raporunda yayınlandı.
2021’in birinci yarısında Kaspersky ICS CERT (Endüstriyel Denetim Sistemleri Siber Acil Müdahale Ekibi) uzmanları, ICS bilgisayarlarında engellenen casus yazılım tehditleriyle ilgili istatistiklerde değişik bir anormallik fark etti. Bu akınlarda kullanılan berbat gayeli yazılımlar, Agent Tesla/Origin Logger, HawkEye ve öbürleri üzere uygun bilinen ticari casusluk yazılım ailelerine ilişkin olsa da akınlar hudutlu sayıda makineyi amaç alması ve atak kaynaklarının hayli kısa ömürlü olması niçiniyle ana akımdan sıyrılıyordu.
2021 yılının birinci yarısında ICS bilgisayarlarında engellenen 58 bin 586 casus yazılım meselain ayrıntılı tahlili, bunların yaklaşık 21,2’sinin bu yeni sonlu kapsamlı ve kısa ömürlü taarruz serisinin modülü olduğunu ortaya çıkardı. Hücumların hayat döngüleri, “geleneksel” bir casus yazılım kampanyasının ömründen hayli daha kısa olan yaklaşık 25 gün ile sonlu.
Bu “anormal” casus yazılım örneklerinin her biri kısa ömürlü ve yaygın olarak dağıtılmamış olsa da tüm casus yazılım akınlarının büyük bir kısmını oluşturuyorlar. Örneğin Asya’da casus yazılım saldırısına uğrayan her beş bilgisayardan biri, “anormal” casus yazılım örneklerinden birine maruz kaldı.
Bu kampanyaların birden fazla, düzgün hazırlanmış kimlik avı e-postaları aracılığıyla bir endüstriyel kuruluştan başkasına yayılıyor. Saldırgan kurbanın sistemine girdiğinde, aygıtı bir daha sonraki hücumun C2 (komut ve kontrol) sunucusu olarak kullanıyor. Hatalılar, kurbanın e-posta listesine erişim sağlayarak kurumsal e-postayı berbata kullanabiliyor ve casus yazılımı daha da yayabiliyor.
Kaspersky ICS CERT telemetrisine göre dünya çapında 2 binden çok endüstriyel kuruluş, makûs niyetli altyapıya dahil edildi ve siber çeteler tarafınca saldırıyı irtibat kuruluşlarına ve öteki iş ortaklarına yaymak için kullanıldı. Bu ataklar kararında ele geçirilen yahut çalınan kurumsal hesapların toplam sayısının 7 binden çok olduğunu kestirim ediliyor.
ICS bilgisayarlarından elde edilen hassas bilgiler ekseriyetle çeşitli pazar yerlerinde satılıyor. Kaspersky uzmanları, endüstriyel kampanyalardan çalınan kimlik ayrıntılarının satıldığı 25’ten çok farklı pazar yeri belirledi. Bu pazar yerlerinin tahlili, bilhassa Uzak Masaüstü Hesapları (RDP) için kurumsal hesap kimlik detaylarıne yüksek talep olduğunu gösteriyordu. Tahlil edilen pazaryerlerinde satılan tüm RDP hesaplarının 46’sından fazlası ABD’deki şirketlere aitken, geri kalanı Asya, Avrupa ve Latin Amerika’dan geliyordu. Satılan RDP hesaplarının yaklaşık 4’ü (2 bin civarı hesap) endüstriyel işletmelere aitti.
Büyüyen bir diğer alan da Hizmet Olarak Casus Yazılım pazarı oldu. Birtakım tanınan casus yazılım programlarının kaynak kodları kamuya açıldığından, bunlar çevrimiçi mağazalarda hizmet halinde yüksek oranda erişilebilir hale geldi. Yani geliştiriciler sırf makus gayeli yazılımları bir eser olarak değil, bununla birlikte berbat maksatlı yazılım oluşturucu lisansı ve evvelinde yapılandırılmış altyapıya erişim halinde de satıyorlar.
Kaspersky ICS CERT Güvenlik Uzmanı Kirill Kruglov, şunları söylüyor: “2021 yılı boyunca siber hatalılar, endüstriyel bilgisayarlara saldırmak için ağır bir biçimde casus yazılımlar kullandılar. Bugün endüstriyel tehdit ortamında süratle gelişen yeni bir akıma şahit oluyoruz. Hatalılar, tespit edilmeyi önlemek için her atağın boyutunu küçültüyor ve her berbat maksatlı yazılım meselain yeni oluşturulmuş bir örnekle değiştirilmesini zarurî kılarak kullanmasını sonlandırıyor. Başka taktikler, makûs gayeli yazılımları yaymak için kurumsal e-posta altyapısının büyük ölçüde berbata kullanılmasını içeriyor. Bu, daha evvel casus yazılımlarda gözlemlediğimiz her şeyden farklı ve bu çeşit atakların önümüzdeki yıl ivme kazanacağını kestirim ediyoruz.”
ICS CERT web sitesinde “anormal” casus yazılım kampanyaları hakkında daha fazla bilgi edinebilirsiniz. 2022’de ICS’ye ve endüstriyel kuruluşlara yönelik tehditler hakkında daha fazla bilgi edinmek için 2022’ye ait ICS tehdit varsayımlarına göz atabilirsiniz.
Endüstriyel kuruluşların, iş ortağı ağ operasyonlarının ve işletmenin kâfi seviyede korunmasını sağlamak için Kaspersky uzmanları şunları öneriyor:
2021’in birinci yarısında Kaspersky ICS CERT (Endüstriyel Denetim Sistemleri Siber Acil Müdahale Ekibi) uzmanları, ICS bilgisayarlarında engellenen casus yazılım tehditleriyle ilgili istatistiklerde değişik bir anormallik fark etti. Bu akınlarda kullanılan berbat gayeli yazılımlar, Agent Tesla/Origin Logger, HawkEye ve öbürleri üzere uygun bilinen ticari casusluk yazılım ailelerine ilişkin olsa da akınlar hudutlu sayıda makineyi amaç alması ve atak kaynaklarının hayli kısa ömürlü olması niçiniyle ana akımdan sıyrılıyordu.
2021 yılının birinci yarısında ICS bilgisayarlarında engellenen 58 bin 586 casus yazılım meselain ayrıntılı tahlili, bunların yaklaşık 21,2’sinin bu yeni sonlu kapsamlı ve kısa ömürlü taarruz serisinin modülü olduğunu ortaya çıkardı. Hücumların hayat döngüleri, “geleneksel” bir casus yazılım kampanyasının ömründen hayli daha kısa olan yaklaşık 25 gün ile sonlu.
Bu “anormal” casus yazılım örneklerinin her biri kısa ömürlü ve yaygın olarak dağıtılmamış olsa da tüm casus yazılım akınlarının büyük bir kısmını oluşturuyorlar. Örneğin Asya’da casus yazılım saldırısına uğrayan her beş bilgisayardan biri, “anormal” casus yazılım örneklerinden birine maruz kaldı.
Bu kampanyaların birden fazla, düzgün hazırlanmış kimlik avı e-postaları aracılığıyla bir endüstriyel kuruluştan başkasına yayılıyor. Saldırgan kurbanın sistemine girdiğinde, aygıtı bir daha sonraki hücumun C2 (komut ve kontrol) sunucusu olarak kullanıyor. Hatalılar, kurbanın e-posta listesine erişim sağlayarak kurumsal e-postayı berbata kullanabiliyor ve casus yazılımı daha da yayabiliyor.
Kaspersky ICS CERT telemetrisine göre dünya çapında 2 binden çok endüstriyel kuruluş, makûs niyetli altyapıya dahil edildi ve siber çeteler tarafınca saldırıyı irtibat kuruluşlarına ve öteki iş ortaklarına yaymak için kullanıldı. Bu ataklar kararında ele geçirilen yahut çalınan kurumsal hesapların toplam sayısının 7 binden çok olduğunu kestirim ediliyor.
ICS bilgisayarlarından elde edilen hassas bilgiler ekseriyetle çeşitli pazar yerlerinde satılıyor. Kaspersky uzmanları, endüstriyel kampanyalardan çalınan kimlik ayrıntılarının satıldığı 25’ten çok farklı pazar yeri belirledi. Bu pazar yerlerinin tahlili, bilhassa Uzak Masaüstü Hesapları (RDP) için kurumsal hesap kimlik detaylarıne yüksek talep olduğunu gösteriyordu. Tahlil edilen pazaryerlerinde satılan tüm RDP hesaplarının 46’sından fazlası ABD’deki şirketlere aitken, geri kalanı Asya, Avrupa ve Latin Amerika’dan geliyordu. Satılan RDP hesaplarının yaklaşık 4’ü (2 bin civarı hesap) endüstriyel işletmelere aitti.
Büyüyen bir diğer alan da Hizmet Olarak Casus Yazılım pazarı oldu. Birtakım tanınan casus yazılım programlarının kaynak kodları kamuya açıldığından, bunlar çevrimiçi mağazalarda hizmet halinde yüksek oranda erişilebilir hale geldi. Yani geliştiriciler sırf makus gayeli yazılımları bir eser olarak değil, bununla birlikte berbat maksatlı yazılım oluşturucu lisansı ve evvelinde yapılandırılmış altyapıya erişim halinde de satıyorlar.
Kaspersky ICS CERT Güvenlik Uzmanı Kirill Kruglov, şunları söylüyor: “2021 yılı boyunca siber hatalılar, endüstriyel bilgisayarlara saldırmak için ağır bir biçimde casus yazılımlar kullandılar. Bugün endüstriyel tehdit ortamında süratle gelişen yeni bir akıma şahit oluyoruz. Hatalılar, tespit edilmeyi önlemek için her atağın boyutunu küçültüyor ve her berbat maksatlı yazılım meselain yeni oluşturulmuş bir örnekle değiştirilmesini zarurî kılarak kullanmasını sonlandırıyor. Başka taktikler, makûs gayeli yazılımları yaymak için kurumsal e-posta altyapısının büyük ölçüde berbata kullanılmasını içeriyor. Bu, daha evvel casus yazılımlarda gözlemlediğimiz her şeyden farklı ve bu çeşit atakların önümüzdeki yıl ivme kazanacağını kestirim ediyoruz.”
ICS CERT web sitesinde “anormal” casus yazılım kampanyaları hakkında daha fazla bilgi edinebilirsiniz. 2022’de ICS’ye ve endüstriyel kuruluşlara yönelik tehditler hakkında daha fazla bilgi edinmek için 2022’ye ait ICS tehdit varsayımlarına göz atabilirsiniz.
Endüstriyel kuruluşların, iş ortağı ağ operasyonlarının ve işletmenin kâfi seviyede korunmasını sağlamak için Kaspersky uzmanları şunları öneriyor:
- Kurumsal e-posta erişimi ve öteki internete yönelik hizmetler (RDP, VPN-SSL ağ geçitleri vb. dahil) için, saldırgan tarafınca şirketinizin dahili altyapısına ve iş açısından kritik datalara erişim sağlamak için kullanabilecekleri noktalarda iki faktörlü kimlik doğrulaması uygulayın.
- Hem BT birebir vakitte OT ağlarındaki tüm uç noktaların, uygun biçimde yapılandırılmış ve şimdiki tutulan çağdaş bir uç nokta güvenlik tahliliyle korunmasını sağlayın.
- Gelen e-postaları inançlı bir biçimde işlemek ve sistemlerini e-posta eklerinin içerebileceği berbat gayeli yazılımlardan korumak için işçinizi nizamlı olarak eğitin.
- İstenmeyen posta klasörlerini bakmadan boşaltmak yerine nizamlı olarak denetim edin.
- Kuruluşunuzun hesaplarının webe maruz kalıp kalmadığını izleyin.
- Gelen e-posta trafiğindeki ekleri otomatik olarak test etmek için tasarlanmış muhafazalı alan tahlillerini kullanın. Lakin hiç kimse güvenlik açıklarından 100 korunmadığından, muhafazalı alan çözümünüzün iş ortağı ve ilgili kuruluşlar da dahil olmak üzere “güvenilir” kaynaklardan gelen e-postaları atlamayacak biçimde yapılandırıldığından emin olun.
- Güvenliğinizin ihlal edilmediğinden emin olmak için giden e-postalardaki ekleri test edin.