Kaspersky ICS CERT, birçok Doğu Avrupa ülkesinde ve Afganistan’da askeri-endüstriyel kompleks işletmelere ve kamu kurumlarına yönelik hedefli bir saldırı dalgası tespit etti. Siber suçlular, endüstriyel casusluk amacıyla kurbanların tüm BT altyapısının kontrolünü ele geçirmeyi başardılar.
Ocak 2022’de Kaspersky araştırmacıları, askeri kuruluşlara ve kamu kuruluşlarına yönelik birkaç gelişmiş saldırıya tanık oldu. Saldırıların temel amacı, şirketlerin özel bilgilerine erişmek ve BT sistemlerini kontrol altına almaktı. Saldırganlar tarafından kullanılan kötü amaçlı yazılım, Çince konuşan bir APT grubu olan TA428 APT tarafından dağıtılana benziyordu.
Saldırganlar, bazıları e-postaların gönderildiği sırada kamuya açıklanmamış olan kuruluşlara özel sırlar içeren, özenle hazırlanmış kimlik avı e-postaları göndererek kurumsal ağlara sızdı. Bu, saldırganların kasıtlı olarak saldırılara hazırlandıklarını ve hedeflerini önceden seçtiklerini gösteriyor. Kimlik avı e-postaları, saldırganın herhangi bir etkinlik olmadan rastgele kod yürütmesine olanak tanıyan bir güvenlik açığından yararlanmak için kötü amaçlı kod içeren bir Microsoft Word belgesi içeriyordu. Söz konusu güvenlik açığı, Microsoft Office’in bir bileşeni olan Microsoft Denklem Düzenleyicisi’nin eski sürümlerinde bulunuyor.
Saldırganlar ayrıca aynı anda altı farklı arka kapı kullandılar. Bunu kötü amaçlı programlardan birinin güvenlik çözümü tarafından tespit edilip kaldırılması durumunda virüslü sistemlerle ek iletişim kanalları kurmak için yaptılar. Bu arka kapılar, virüslü sistemleri kontrol etmek ve gizli verileri toplamak için kapsamlı işlevsellik sağladı.
Saldırının son aşaması, etki alanı denetleyicisini ele geçirmeyi ve kuruluşun tüm iş istasyonları ve sunucularının tam kontrolünü ele geçirmeyi içeriyordu. Hatta vakalardan birinde siber güvenlik çözümleri kontrol merkezini bile ele geçirdiler. Etki alanı yöneticisi ayrıcalıkları ve Active Directory’ye erişim kazandıktan sonra saldırganlar, kuruluşların keyfi kullanıcı hesaplarını taklit etmek ve saldırıya uğrayan kuruluşun hassas verilerini ve diğer dosyaları aramak için “altın bilet” adı verilen esas saldırıyı gerçekleştirdiler.
Kaspersky ICS CERT Güvenlik Uzmanı Vyacheslav Kopeytsev, şunları söylüyor:
“Altın bilet saldırıları, Windows 2000’in kullanıma sunulmasından bu yana kullanılan varsayılan kimlik doğrulama protokolünden yararlanıyor. Kerberos Ticket Granting Tickets (TGTs) kurumsal ağ içinde taklit edilerek, saldırganlar ağa ait herhangi bir hizmete bağımsız olarak erişmek mümkün. Sonuç olarak bundan korunmak için yalnızca parolaları değiştirmek veya güvenliği ihlal edilmiş hesapları engellemek yeterli olmayacaktır. Tavsiyemiz, tüm şüpheli etkinlikleri dikkatlice kontrol etmeniz ve güvenilir güvenlik çözümlerine yönelmenizdir.”
ICS bilgisayarlarınızı çeşitli tehditlerden korumak için Kaspersky uzmanları kurumlara şunları öneriyor:
- Kuruluş ağının parçası olan işletim sistemlerini ve uygulama yazılımını düzenli olarak güncelleyin. Güvenlik düzeltmelerini ve yamalarını, kullanılabilir oldukları anda BT ve OT ağ ekipmanlarına uygulayın.
- Olası güvenlik açıklarını belirlemek ve ortadan kaldırmak için BT ve OT sistemlerinin düzenli güvenlik denetimlerini gerçekleştirin.
- Teknolojik süreçleri ve ana kurumsal varlıkları potansiyel olarak tehdit eden saldırılara karşı daha iyi koruma için ICS ağ trafiği izleme, analiz ve algılama çözümlerini kullanın.
- Yeni ve gelişmiş kötü amaçlı tekniklere yanıtı iyileştirmek için BT güvenlik ekipleri ve OT mühendisleri için özel güvenlik eğitimi uygulayın.
- Endüstriyel kontrol sistemlerini korumaktan sorumlu güvenlik ekibine güncel tehdit istihbaratı sağlayın.
- Sektör açısından kritik tüm sistemler için kapsamlı koruma sağlamak üzere OT uç noktaları ve ağlarınızda güvenlik çözümlerini kullanın.
- BT altyapınızı da koruyun. Entegre Uç Nokta Güvenliği, kurumsal uç noktaları korur ve otomatik tehdit algılama ve yanıt yetenekleri sağlar.
Kaynak : 