Getty Resimleri
Araştırmacılar, elektrik enerjisi iletimini bozmak için tasarlanmış kötü amaçlı yazılımları ortaya çıkardılar ve Rus hükümeti tarafından elektrik şebekelerinde siber saldırılar oluşturmak veya bunlara yanıt vermek için eğitim tatbikatlarında kullanılmış olabilir.
CosmicEnergy olarak bilinen kötü amaçlı yazılım, her ikisi de araştırmacılar tarafından Kremlin’in en yetenekli ve acımasız bilgisayar korsanlığı gruplarından birinin adı olan Sandworm’a atfedilen Industroyer ve Industroyer2 olarak bilinen kötü amaçlı yazılımlarda bulunanlarla karşılaştırılabilir yeteneklere sahiptir. Sandworm, Aralık 2016’da Ukrayna’nın Kiev kentinde bir elektrik kesintisini tetiklemek için Industroyer’ı konuşlandırdı ve bu da şehrin tahminen büyük bir bölümünü bir saat elektriksiz bıraktı. Saldırı, daha önceki bir saldırının 225.000 Ukraynalının elektriğini altı saatliğine kesmesinden neredeyse bir yıl sonra meydana geldi. Industroyer2 geçen yıl gün ışığına çıktı ve Ukrayna’nın elektrik şebekelerine üçüncü bir saldırıda kullanıldığına inanılıyor, ancak başarılı olamadan tespit edildi ve durduruldu.
Saldırılar, elektrik enerjisi altyapısının savunmasızlığını ve Rusya’nın bunu kullanma konusundaki artan becerisini gösterdi. 2015’teki saldırıda, BlackEnergy olarak bilinen yeniden tasarlanmış kötü amaçlı yazılım kullanıldı. Ortaya çıkan BlackEnergy3, Sandworm’un Ukrayna enerji şirketlerinin kurumsal ağlarına başarılı bir şekilde girmesine ve denetim kontrol ve veri toplama sistemlerine daha fazla tecavüz etmesine izin verse de, kötü amaçlı yazılımın operasyonel teknoloji veya OT donanımıyla doğrudan arayüz oluşturacak hiçbir yolu yoktu.
2016 saldırısı daha karmaşıktı. Elektrik şebekesi sistemlerini hacklemek için sıfırdan yazılmış bir kötü amaçlı yazılım olan Industroyer’ı kullandı. Industroyer, Ukrayna’nın şebeke operatörleri tarafından kullanılan gizemli endüstriyel süreçlerdeki ustalığıyla dikkate değerdi. Industroyer, trafo merkezi hatlarının enerjisini kesmeleri ve ardından yeniden enerji vermeleri talimatını vermek için bu sistemlerle yerel olarak iletişim kurdu. WIRED muhabiri Andy Greenberg’in bildirdiği gibi:
Industroyer, dört endüstriyel kontrol sistemi protokolünden herhangi birini kullanarak devre kesicilere komutlar gönderebiliyordu ve kötü amaçlı yazılımın farklı yardımcı programları hedeflemek üzere yeniden konuşlandırılması için bu protokollerin modüler kod bileşenlerinin değiştirilmesine izin veriyordu. Kötü amaçlı yazılım aynı zamanda, tehlikeli elektrik koşullarını tespit ettiklerinde güç akışını otomatik olarak kesen koruyucu röleler olarak bilinen güvenlik cihazlarını devre dışı bırakan bir bileşen de içeriyordu; gücü tekrar açtı.
Industroyer2, Industroyer için güncellemeler içeriyordu. Nihayetinde başarısız olsa da, üçüncü bir saldırı girişiminde kullanılması, Kremlin’in Ukrayna elektrik enerjisi altyapısını hackleme emellerinin en önemli öncelik olmaya devam ettiğinin sinyalini verdi.
Geçmiş göz önüne alındığında, yaygın güç kesintilerine neden olmak için tasarlanmış yeni kötü amaçlı yazılımların tespiti, şebekeleri savunmakla görevli kişiler için endişe verici ve ilgi çekicidir. Kötü amaçlı yazılımın Kremlin ile potansiyel bağları olduğunda endişe daha da artar.
CosmicEnergy’yi bulan güvenlik firması Mandiant’tan araştırmacılar şunları yazdı:
COSMICENERGY, nadiren keşfedilen veya ifşa edilen siber fiziksel etkilere neden olabilen özel OT kötü amaçlı yazılımlarının en son örneğidir. COSMICENERGY’yi benzersiz kılan şey, analizimize göre, bir yüklenicinin onu bir Rus siber güvenlik şirketi olan Rostelecom-Solar tarafından sunulan simüle edilmiş güç kesintisi tatbikatları için kırmızı bir takım oluşturma aracı olarak geliştirmiş olabileceğidir. Kötü amaçlı yazılımın ve işlevselliğinin analizi, yeteneklerinin önceki olaylarda ve kötü amaçlı yazılımlarda kullanılanlarla karşılaştırılabilir olduğunu ortaya koymaktadır. ENDÜSTRİYEL Ve INDUSTROYER.V2IEC-104 yoluyla elektrik iletimini ve dağıtımını etkilemek için geçmişte dağıtılan kötü amaçlı yazılım çeşitleriydi.
COSMICENERGY’nin keşfi, saldırgan OT yeteneklerinin geliştirilmesine yönelik giriş engellerinin, aktörler yeni kötü amaçlı yazılım geliştirmek için önceki saldırılardan elde edilen bilgileri kullandıkça azaldığını gösteriyor. Tehdit aktörlerinin vahşi ortamda hedeflenen tehdit faaliyetleri için kırmızı ekip araçlarını ve kamuya açık istismar çerçevelerini kullandığı göz önüne alındığında, COSMICENERGY’nin etkilenen elektrik şebekesi varlıkları için makul bir tehdit oluşturduğuna inanıyoruz. IEC-104 uyumlu cihazlardan yararlanan OT varlık sahipleri, COSMICENERGY’nin vahşi dağıtımındaki potansiyeli önceden değerlendirmek için harekete geçmelidir.
Şu anda, bağlantı ikinci dereceden ve esasen kodda bulunan ve Kremlin’in sponsor olduğu eğitim tatbikatları için tasarlanmış bir yazılımla çalıştığını öne süren bir yorumla sınırlı. CosmicEnergy’nin düşmanca saldırıları simüle eden sözde Red Team tatbikatlarında kullanıldığı teorisiyle uyumlu olarak, kötü amaçlı yazılım, bir saldırı gerçekleştirmek için gerekli olabilecek ortam bilgilerini elde etmek için bir ağa girme yeteneğinden yoksundur. Kötü amaçlı yazılım, tipik olarak güç hattı anahtarları veya devre kesicilerle ilişkilendirilen sabit kodlanmış bilgi nesnesi adresleri içerir, ancak bu eşlemelerin, üreticiden üreticiye farklılık gösterdiğinden, belirli bir saldırı için özelleştirilmesi gerekir.
Mandiant araştırmacıları, “Bu nedenle, aktörün amaçladığı belirli eylemler, hedeflenen varlıklar hakkında daha fazla bilgi olmadan belirsizdir” diye yazdı.
Kaynak : https://arstechnica.com/?p=1942377