Güncelleme Tarihi:
Endüstriyel kuruluşları hedef alan saldırılar, karmaşık yapıları ve kritik önem taşıyan şirketlere odaklanmaları nedeniyle siber güvenlik sektörünün dikkatini her zaman üzerinde topluyor. Bu tür şirketlerin operasyonlarındaki herhangi bir kesinti, endüstriyel casusluktan büyük finansal kayıplara kadar istenmeyen sonuçlar doğurabiliyor.
İnceleme altına alınan son saldırılar da bundan farklı değildi. İlk saldırı vektörü olarak kullanılan kimlik avı e-postalarının, kurbanların kendi dillerinde özel olarak hazırlandığı belirlendi. Saldırıda kullanılan zararlı yazılım, ancak işletim sisteminin diliyle kimlik avı e-postasının dili aynıysa harekete geçiyordu. Örneğin Japonya’daki bir şirkete düzenlenen saldırıda, kimlik avı e-postasındaki metin ve zararlı bir makro içeren Microsoft Office belgesi Japonca yazılmıştı. Ayrıca, zararlı yazılım modülünün açılması için işletim sisteminin de Japonca olması gerekiyordu.
Yapılan analizlerde, saldırganların ele geçirilen bir sistemde saklı Windows hesaplarına ait kimlik doğrulama verilerini çalmak için Mimikatz aracından yararlandıkları tespit edildi. Saldırganlar topladıkları bu verilerle kurumsal ağdaki diğer sistemlere erişip saldırıyı geliştirebiliyorlardı. Saldırganlar yönetici yetkilerine sahip hesaplara eriştiğinde ise çok daha tehlikeli durumlar yaşanabiliyordu.
Kaspersky güvenlik çözümleri, tespit edilen tüm vakalarda zararlı yazılımı engellemeyi başararak saldırganların faaliyetlerine son verdi. Bu nedenle, saldırganların asıl amacı henüz bilinmiyor. Kaspersky ICS CERT uzmanları yeni benzer vakaları izlemeye devam ediyor.
Kaspersky Güvenlik Uzmanı Vyacheslav Kopeytsev, “Bu saldırı, saldırganların standart olmayan teknik yöntemler kullanmaları nedeniyle dikkat çekti. Örneğin, görsel dosyasının içine kodlanan zararlı yazılım modülü steganografi yöntemiyle gizleniyordu ve görselin kendisi de yasal web kaynaklarında yer alıyordu. Tüm bunlar bu zararlı yazılımı, ağ trafiğini izleyen ve denetleyen araçlarla tespit etmeyi neredeyse imkansız hale getiriyordu. Teknik açıdan bakıldığında bu faaliyetin, yasal görsel kaynaklarına verilen erişimden hiçbir farkı yok. Saldırıların hedefli olması da kullanılan yöntemlerin karmaşık yapısını gözler önüne seriyor. Kurbanların arasında endüstriyel kuruluşların tedarikçilerinin olması endişe verici. Tedarikçi şirketlerin çalışanlarına ait kimlik doğrulama verileri kötü niyetli kişilerin eline geçerse başta gizli verilerin çalınması ve kullanılan uzaktan yönetim araçları üzerinden endüstri şirketlerine saldırı düzenlenmesi olmak üzere birçok olumsuz sonuç doğabilir.” dedi.
Kaspersky Endüstriyel Siber Güvenlik Çözümleri Müdürü Anton Shipulin, “Tedarikçilere yönelik saldırılar bir kez daha gösterdi ki hem kurumsal hem de operasyonel teknoloji ağlarındaki iş istasyonlarının ve sunucuların koruma altına alınması kritik önem taşıyor. Bu vakadakine benzer saldırıları önlemek için güçlü uç nokta güvenliği yeterli olsa da biz endüstriyel tesislerin siber güvenliğinde en kapsamlı yaklaşımın uygulanmasını tavsiye ediyoruz. Tedarikçiler üzerinden yöneltilen saldırılar, OT ağı da dahil olmak üzere kurumsal ağlara çok farklı noktalardan giriş yapabiliyor. Son saldırıların amacı henüz belli olmasa da saldırganların tesislerdeki kritik sistemlere erişme potansiyeline sahip olduğunu kabul edebiliriz. Modern ağ takibi, anormal durum ve saldırı tespiti yöntemleri endüstriyel kontrol sistemlerine ve ekipmanlarına yönelik saldırıların belirtilerini yakalamaya yardımcı olarak olası vakaları önleyebilir.” dedi.
Saldırı riskini azaltmak için endüstri şirketlerine şunlar tavsiye ediliyor: