Küresel federal kuruluşlar, Kuzey Amerika ve Avrupa’daki kritik altyapılara yönelik olarak operasyonel teknoloji (OT) cihazlarını hedefleyen pro-Rus hacktivist gruplarınca yapılan siber saldırılarda artış yaşandığı konusunda alarm veriyorlar.
Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), FBI, NSA, EPA, DOE, USDA, FDA, Multi-State ISAC, Kanada Siber Güvenlik Merkezi ve İngiltere Ulusal Siber Güvenlik Merkezi, bu tehdit aktörlerinin su/kanalizasyon, barajlar, enerji ve gıda/tarım tesislerinde kullanılan insan-makine arayüzleri (HMI) gibi küçük ölçekli endüstriyel kontrol sistemlerini etkileyen siber saldırıları tespit ettiler.
“Yazar kuruluşlar, Kuzey Amerika ve Avrupa’daki su ve kanalizasyon sistemleri, barajlar, enerji ve gıda ve tarım sektörlerindeki küçük ölçekli OT sistemlerini hedef alan ve tehlikeye atan pro-Rus hacktivistlerin farkındadır,” dedi ajanslar.
“Bu hacktivistler, sanal ağ bilgisayarına (VNC) uzaktan erişim yazılımları ve varsayılan şifreler gibi yazılı bileşenler aracılığıyla modüler, internete açık endüstriyel kontrol sistemlerini hedeflemektedirler,” diye eklediler. Kullanılan teknikler nispeten sofistike olmasa da, yetkililer, hacktivistlerin güvensiz OT ortamlarında fiziksel kesintilere yol açabilecek yeteneklerini gösterdiğini uyarıyor. Gözlemlenen taktikler arasında kamuoyuna açık internet bağlantılarının kullanılması, çoklu faktörlü kimlik doğrulama olmaksızın varsayılan veya zayıf şifrelerin kullanılması ve HMI ayarlarının uzaktan manipüle edilmesi bulunmaktadır.
“Her bir durumda, hacktivistler ayar noktalarını maksimuma çıkardılar, diğer ayarları değiştirdiler, alarm mekanizmalarını kapattılar ve operatörleri kilitlemek için yönetici şifrelerini değiştirdiler,” diye açıklıyor rehber. “Bazı kurbanlar hafif tank taşma olayları yaşadılar; ancak çoğu manuel kontrollere geri döndü ve işlemleri hızla geri getirdi.”
Erken 2024’te, yetkililer, ABD’deki birkaç su/kanalizasyon tesisi tarafından “sınırlı fiziksel kesintiler” yaşandığını bildirdi, yetkisiz kullanıcıların operatörleri tehlikeli bir şekilde pompa ve fan ayarlarını uzaktan manipüle etmeden önce HMIs’leri kilitlemesi.
Ortak tavsiye, kritik altyapı sahipleri ve OT üreticilerinin siber savunmalarını güçlendirmek için kapsamlı önlemler ve kaynaklar sağlar. Ana öneriler arasında:
İnternete açık HMIs/kontrol cihazlarını ayırın ve uzaktan erişim için çok faktörlü kimlik doğrulama gerektirin
Güçlü, benzersiz şifreler kullanın ve varsayılan kimlik bilgilerini ortadan kaldırın
VNC yazılımını güncel tutun ve yamalayın
Yalnızca yetkilendirilmiş cihaz IP’lerine izin verin ve erişim günlüğünü etkinleştirin
Güncel ağ diyagramları tutun ve cihaz yapılandırmalarını yedekleyin
Mümkün olan en kısa sürede kullanım ömrü sona eren OT ekipmanlarını değiştirin
Üreticiler için: varsayılan şifreleri ortadan kaldırın, ayrıcalıklı erişim için çok faktörlü kimlik doğrulamayı zorunlu kılın, günlüğü dahil edin ve yazılım malzemeleri faturalarını yayınlayın
“Kritik altyapı kuruluşları riskleri azaltmak için adımlar atabilirken, sonuçta OT cihaz üreticilerinin tasarımı ve varsayılan olarak güvenli ürünler oluşturma sorumluluğu vardır,” diye belirtiyor tavsiye. “Yazar kuruluşlar, cihaz üreticilerini müşterilerinin güvenlik sonuçlarına sahip çıkmaya davet ediyorlar.”
Yetkililer, hacktivistlerin tarih boyunca yeteneklerini abarttıklarını belirtse de, endüstriyel kontrol sistemlerine erişim elde etmelerinin, zayıflıkların ele alınmaması durumunda çok daha büyük gerçek dünya etkileri potansiyelini gösterdiğini vurguluyorlar.
Bu faaliyet veya diğer şüpheli olaylardan etkilenen kuruluşların bunları hızla CISA, FBI, ilgili ISAC’lar ve sektör risk yönetimi ajanslarına rapor etmeleri teşvik ediliyor.