İki Hollandalı araştırmacı, dünyanın elektrik şebekelerini, gaz boru hatlarını ve daha fazlasını çalıştıran yazılımı hackleyerek çok önemli bir başarıya imza attı. İkili, eylemlerinin şimdiye kadar gerçekleştirdikleri en kolay siber saldırı olduğunu belirtiyorlar.
İki Hollandalıdan biri 2012’de yepyeni bir iPhone’u hackleyerek dünyanın en büyük hack yarışması olan Pwn2own’da 30 bin dolar kazanmıştı. Daan Keuper ve meslektaşı Thijs Alkemade daha sonra 2018’de bir otomobili hacklemişti.
İkili geçen yıl ayrıca video konferans yazılımlarını ve koronavirüs uygulamalarını hacklerken şimdi de dünyanın kritik altyapısını yönetmeye yardımcı olan yazılımı hedefleyerek yeni bir Pwn2Own şampiyonası kupasını ve 40 bin doları evlerine götürdü.
Keuper, “Endüstriyel kontrol sistemlerinde hala çok fazla kolay lokma var.” derken Alkemade, “Bu kesinlikle çalışması daha kolay bir ortam.” ifadesini kullandı.
Miami’de ödül töreni gerçekleştiği sırada ABD ve müttefikleri, Rus hackerların elektrik şebekesi, nükleer reaktörler, su sistemleri gibi altyapıyı hedeflemekte oldukları konusunda uyarıda bulundu. Geçen hafta, bir grup Rus hacker Ukrayna elektrik şebekesini çökertmeye çalışırken yakalandı ve kritik endüstriyel sistemleri bozmayı amaçlayan başka bir bilgisayar korsanı grubu daha yakalandı.
HACKERLARIN HEDEFİNDE ENDÜSTRİYEL KONTROL SİSTEMLERİ VAR
Pwn2own’da bahisler biraz daha düşük, ancak sistemler gerçek dünyadaki ile aynı. Miami’de hedeflerin hepsi kritik tesisleri işleten endüstriyel kontrol sistemleriydi. Hedef olarak sunulan hemen hemen her yazılım parçası hackerların elinden geçti. Sonuçta, sponsorların ödediği şey de tam olarak bu. Zira başarılı olan hackerlar kusurun giderilebilmesi için tüm ayrıntıları paylaşıyor. Ancak bu aynı zamanda kritik altyapı güvenliği için daha kırk fırın ekmek yenmesi gerektiğinin de bir işareti.
Bu yıl ödül törenini gerçekleştiren Dustin Childs, “Endüstriyel kontrol sistemleri dünyasında gördüğümüz hataların (bug) çoğu, 10-15 yıl önce kurumsal yazılım dünyasında gördüğümüz hatalara benziyor.” diyor ve ekliyor: “Hala yapılması gereken çok iş var.”
Bu yılki yarışmada göze çarpan hedeflerden biri de hackerların kritik hedefleri yıkmak için girebilecekleri bir insan-makine arayüzü aracı olan Iconics Genesis64 oldu. Bunun gerçek anlamda bir tehdit olduğu herkesin malumu. Zira on yıl önce, Stuxnet olarak bilinen bir saldırı İran nükleer programını hedef almıştı. ABD ve İsrail için çalıştığına inanılan hackerlar, nükleer malzemeleri ayırmak için kullanılan gaz santrifüjlerinin içindeki programlanabilir mantık denetleyicilerini sabote etmişler, aynı zamanda cihazlara İranlı operatörlere her şeyin yolunda gittiğini söylemeleri talimatını vermişlerdi.
GÜVENLİK DENETİMLERİNİ BAŞARIYLA ATLATTILAR
Miami’de, Iconics Genesis64 saldırganlara tam kontrol sağlamak için en az altı kez saldırıya uğradı. Mücadeleyi üstlenen takımlar toplam 75 bin dolar kazandı. Yarışmada tartışmasız en çok dikkat çekenler ise OPC UA adlı bir iletişim protokolünü hedef alan Keuper ve Alkemade oldu. Şirketleri Computest adı altında rekabet eden Keuper ve Alkemade, güvenilir uygulama denetimini başarıyla atlattı.
Bu olduğunda, sahne tüm hafta süren yarışmanın en büyük alkışı ile sarsıldı ve sadece birkaç saniye içinde, takım 40 bin dolar kazandı.
OPC UA’nın endüstriyel dünyanın her yerinde sistemler arasında bir bağlayıcı olarak kullanıldığını söyleyen Keuper, “Tipik endüstriyel ağların çok merkezi bir bileşeni ve normalde herhangi bir şeyi okumak veya değiştirmek için gereken kimlik doğrulamasını atlayabiliriz. İnsanlar bunu bu yüzden çok önemli ve ilginç buldular. Bulması sadece birkaç gün sürdü.” diyor.
2012’deki iPhone’nun hacklenmesi olayı ise üç hafta sürmüştü. Buna karşılık, OPC UA hacki, Keuper ve Alkemade’i günlük işlerinden uzaklaştıran bir yan projeydi. Ancak etkisi çok büyük oldu. Nitekim bir iPhone’u hacklemenin ve kritik altyapı yazılımlarına girmenin sonuçları arasında büyük farklılıklar var. Bir iPhone kolayca güncellenebilir ve her zaman yeni bir telefon bulunabilir.
Aksine, kritik altyapıda, bazı sistemleri yenilemek onlarca yıl sürebilir. Hatta bilinen bazı güvenlik kusurları hiç düzeltilemeyebilir. Operatörler genellikle güvenlik düzeltmeleri için teknolojilerini güncelleyemezler çünkü bir sistemi çevrimdışı duruma getirmek söz konusu değil. Bir fabrikayı bir elektrik düğmesi veya bir dizüstü bilgisayar gibi tekrar açıp kapatmak kolay değil.
Keuper, “Endüstriyel kontrol sistemlerinde oyun alanı tamamen farklı. Güvenliği farklı düşünmelisin. Farklı çözümlere ihtiyacınız var. Oyun değiştiricilere ihtiyacımız var.” diyor
Alkemade ise şu değerlendirmelerde bulunuyor: “Dünyayı biraz daha güvenli hale getirmek adına kamu yararı için araştırma yapıyorum.” diyor ve ekliyor: “İnsanların bizi dinlemesi için çok dikkat çeken şeyler yapıyoruz. Bu para ile ilgili bir mesele değil. Bu heyecanla ve neler yapabileceğimizi göstermekle ilgili bir şey.”
Bu arada, Pwn2Own yarışmaları kapsamında geçen yıl 2 milyon dolar verildi. Gelecek ay, hackerlar gösterinin 15. yıldönümünü kutlamak için Vancouver’da toplanacaklar.
Rusya’nın işgal amaçlı operasyonu devam ederken, Rus hackerların iki milyon insanın elektrik erişimini engelleme girişiminde bulunduğu ortaya çıktı. Başarılı olması hâlinde saldırı şimdiye kadarki siber kaynaklı en büyük elektrik kesintisine sebep olacaktı.
Ukraynalı hükümet yetkilileri ve Slovak siber güvenlik firması ESET’in açıkladığı bilgilere göre, Rus hackerlar Ukrayna’nın elektrik şebekesini hedef aldı ve 2 milyon insanı etkileyecek bir elektrik kesintisini hedefledi.
Düzenlenen siber saldırıyla bir Ukraynalı enerji şirketindeki bilgisayarların çökertilmesi ve hedeflenen sistemleri yok etmek için tasarlanmış kötü amaçlı yazılım kullanarak önemli verilerin silinerek işe yaramaz hale getirilmesi amaçlandı.
Ukraynalı yetkililer, ülkenin doğusundaki Rus işgaline destek vermeyi amaçlayan saldırıyı engellediklerini açıkladı. Başarılı olması hâlinde, söz konusu saldırı şimdiye kadarki en büyük siber kaynaklı elektrik kesintisine sebep olacaktı.
Ancak geçtiğimiz haftalarda uluslararası müttefiklerle paylaşılan Ukrayna kaynaklı resmi bir belgeye göre, Rus hackerlar kısa süre önce de bir Ukraynalı elektrik şirketine saldırarak dokuz elektrik trafo merkezini geçici olarak kapattı. Henüz kamuoyuna açıklanmayan belge, MIT Technology Review ile paylaşıldı. Ukraynalı yetkililer konuyla ilgili yorum yapmayı kabul etmezken iki saldırı arasında bir bağın bulunup bulunmadığına dair de bilgi vermedi.
Ukrayna Bilgisayar Acil Müdahale Ekibi (CERT) tarafından yazılan belgede, biri Ukrayna’nın Rusya’ya olan bağımlılığı sona erdirmek amacıyla Avrupa’nın elektrik şebekesine katılmasından birkaç gün sonra, 19 Mart’ta başlayan “en az iki başarılı saldırı girişimi” anlatılıyor. Ukrayna’nın Dijital Gelişim Devlet Özel Servisi Başkan Yardımcısı Victor Zhora, basına yansımasının ardından “ön hazırlık” olarak nitelendirdiği belge için “yanlış” değerlendirmesinde bulundu.
SANDWORM SALDIRILARININ DEVAMI OLARAK GÖRÜLÜYOR
Ukrayna elektrik şebekesine yapılan siber saldırılar, ABD tarafından Rus askeri istihbarat teşkilatı Unit 74455 olarak tanımlanan ve Sandworm adıyla bilinen bir hacker grubu aracılığıyla düzenlenen saldırıların devamı olarak görülüyor.
Rus istihbaratı için çalıştığı düşünülen hackerlar, 2015 ve 2016’da da güç sistemine saldırmıştı. 2015’teki saldırı büyük ölçüde manuel iken, 2016’daki saldırı Industroyer adıyla bilinen ve kötü amaçlı yazılım kullanılarak gerçekleştirilen bir siber saldırıydı. Uzmanların 2022 saldırılarında tespit ettiği kötü amaçlı yazılım, aradaki benzerlikten ötürü Industroyer2 olarak adlandırıldı.
Zhora Salı günü gazetecilere verdiği demeçte, “Bizi sekiz yıldır siber uzayda sondaj yapan bir rakiple uğraşıyoruz. Saldırıyı önleyebilmiş olmamız, geçen seferden daha güçlü ve daha hazırlıklı olduğumuzu gösteriyor.” dedi.
Industroyer2’nin kodunun ESET bünyesindeki uzmanlar tarafından incelenmesinin ardından, hackerların sadece elektriği kesmeyi değil, şebekeleri kontrol etmek için kullanılan bilgisayarları da çökertmeye çalıştığı bulgusuna ulaşıldı. Başarılı olması hâlinde, elektrik şirketinin bilgisayarlar aracılığıyla elektrik bağlantısını tekrar sağlama yeteneği de tahrip edilmiş olacaktı.
Önceki siber saldırılarda, Ukraynalılar birkaç saat içinde kontrolü alabilmişlerdi, ancak Rus tankları ve askerlerinin yer yer kontrol altına aldığı savaş şartlarında bir trafo merkezine kamyon göndermek eskisi kadar kolay değil.
Avrupa’da kritik altyapılara yönelik son dönemde artan saldırılar, konuya ilişkin önleyici siber güvenlik tedbirlerini ne kadar önemli olduğunu gösterdi.
Türk siber güvenlik firması Cyberwise bir süredir devam eden Endüstriyel Siber Güvenlik ile ilgili Ar-Ge çalışmalarının neticesinde yeni çözümü “ICSFusion”u piyasaya sundu.
Endüstriyel altyapıların varlık ve endüstriyel proses odaklı risk önceliklendirmesi ile güvenliğini sağlayan, alanındaki tek çözüm olan “ICSFusion” ile Cyberwise, kritik altyapıların güvenliğinde yeni bir dönem başlatmayı amaçlıyor.
Cyberwise, enerji tesislerinden su altyapılarına, savunma sanayiinden üretim tesislerine kadar birçok kritik altyapının omurgasını oluşturan Endüstriyel Kontrol Sistemleri’nin (EKS) siber güvenliği için geliştirdiği yeni çözümü ICSFusion’ı kullanıma sunuyor.
SEKTÖRDE TEK ÜRÜN OLMA ÖZELLİĞİ TAŞIYOR
Endüstriyel siber güvenlik alanında ilk defa varlık ve endüstriyel proses odaklı risk önceliklendirmesi ile endüstriyel ortamların güvenliğini sağlayan ICSFusion, bu alanda sektördeki tek ürün olma özelliğini taşıyor.
ICSFusion Ürün Yöneticisi ve Endüstriyel Güvenlik Uzmanı Can Demirelyeni çözümle ilgili şunları söyledi: “ICSFusion ile öncelikle mevcut endüstriyel siber güvenlik çözümü bulunan kurumların sistemlerine hızlı bir şekilde entegre olarak katma değer yaratacağız. Günümüzde özellikle endüstriyel altyapılar siber güvenlik ile ilgili daha fazla aksiyon alınabilir verilere ihtiyaç duyuyor. Endüstriyel siber güvenlik ürünlerinin üzerine entegre olacak olan ICSFusion ile endüstriyel tesislerdeki varlıkların kritikliği ve bulunduğu sektörün dinamikleri göz önünde bulundurularak önceliklendirebilir hale gelecek. Bu risk önceliklendirmesi sayesinde kurumların siber güvenliğinde hız, kolaylık ve dayanıklılık sağlayabileceğiz. ICSFusion ile kritik altyapıların güvenliğini artık bir üst seviyeye taşıyoruz. Uzun yıllardır yürüttüğümüz endüstriyel siber güvenlik ile ilgili Ar-Ge çalışmalarımızın sonucu olarak piyasaya sunduğumuz ICSFusion ile sektöre sağladığımız katma değerden dolayı Cyberwise ekibi olarak oldukça heyecanlı ve gururluyuz.”
ICSFusion, kurumların topladığı verileri kurumun bulunduğu sektör bazında önceliklendirerek uyarılar ve bildirimler arasında önemli tehditlerin ve siber risklerin kaybolmasını önlüyor. Varlıkları, zafiyetleri, tehditleri ve riskleri daha görünür hale getiren ICSFusion, güvenlik sorunlarını dakikalar içinde ortaya çıkararak endüstriyel ortamların güvenliğinde kolaylık, hız ve dayanıklılık sağlıyor.
Cyberwise tarafından 1 Şubat 2022 itibariyle kullanıma sunulan ICSFusion ile ilgili ayrıntılı bilgi için www.icsfusion.com adresini ziyaret edebilirsiniz.
Batı Avrupa’nın en büyük petrol limanları, enerji fiyatlarının yükseldiği bir dönemde siber saldırı mağduru oldu.
Saldırılarda Almanya’da Oiltanking, Belçika’da SEA-Invest ve Hollanda’da Evos şirketlerinin hedef alındığı belirtiliyor. Saldırıların eş güdümlü olup olmadığı ise bilinmiyor.
ROTTERDAM VE ANTWERP’TE SEVKİYAT DURMA NOKTASINA GELDİ
Rotterdam’ın ardından Avrupa’nın en büyük ikinci limanı olan Antwerp de dahil olmak üzere ülkenin limanlarda bulunan petrol tesislerinin hacklenmesiyle ilgili soruşturma başlatıldı.
Alman savcılar, hackerların kilitledikleri ağları yeniden açmak için para talep ettiği olası bir fidye yazılımı saldırısı olarak tanımladığı petrol tesislerini hedef alan siber saldırıyı araştırdıklarını söyledi.
Geçtiğimiz ay gaz Rusya ile yaşanan diplomatik gerilimler nedeniyle petrol fiyatları, yedi yılın en yüksek seviyesine ulaştı.
Konunun uzmanı bir gemi brokerına göre hack iddiası birçok Avrupa limanını etkiliyor ve zaten gergin olan bu pazardaki yüklerin boşaltılmasını engelliyor. Rotterdam’daki Riverlake’in kıdemli brokerı Jelle Vreeman, “Birçok tesiste siber saldırı oldu, bazı terminaller çöktü.” dedi.
Yazılımların ele geçirilmesi suretiyle gerçekleşen saldırılar mavnaların işleyişini sekteye uğratıyor. Vreeman, “Kısacası, operasyonel sistem çökmüş durumda.” diyor.
Europol sözcüsü Claire Georges, “Bu aşamada soruşturma devam ediyor ve hassas bir aşamada.” dedi.
SALDIRILARIN EN BÜYÜK MAĞDURU BELÇİKA HOLLANDA HATTI
Saldırıların başlıca kurbanlarından biri, şirket bilişim sistemlerinin siber saldırı kurbanı olduğu Hollanda ve Belçika ortaklığında faaliyet gösteren Amsterdam-Rotterdam-Antwerp petrol ticaret merkezi gibi görünüyor.
Belçika’da yayın yapan De Morgen gazetesinin haberine göre, Antwerp’te depolama tesisleri bulunan SEA-TANK tesisi de saldırılardan nasibini aldı. Hollanda Ulusal Siber Güvenlik Merkezi, “gerekirse” yeni adımlar atacaklarının sözünü verdi.
Almanya’da iki petrol şirketi, 29 Ocaktan bu yana siber saldırının kurbanı olduklarını söyledi.
Hem Oiltanking Deutschland GmbH hem de Mabanaft, fors majör (bir sözleşmenin yürürlüğünü engelleyen beklenmedik durum) ilan etti. Şirket sözcüleri, “Sorunu çözmeye ve etkilerini olabildiğince çabuk bir şekilde en aza indirmeye kararlıyız.” dediler.
ALMANYA’DAKİ SALDIRILARDA BLACKCAT ŞÜPHESİ
Alman gazetesi Handelsblatt’a göre, Alman güvenlik servislerinden gelen ilk değerlendirmelere göre Almanya’daki siber saldırıda kullanılan aracın BlackCat fidye yazılımı olduğu belirtiliyor.
BlackCat, Kasım 2021’in ortalarında hackerların hedef sistemlerin kontrolünü ele geçirmesine izin veren bir yazılım aracı olarak ortaya çıktı ve gelişmişliği ve yenilikçiliği nedeniyle hızla ün kazandı.
Uzmanlar ayrıca Blackcat’in programcılarının Rusça dilini kullandıklarına dikkat çekiyor.
Amerika Birleşik Devletleri ve diğer batı ülkelerindeki hedeflere yönelik son fidye yazılımı saldırıları, Rusça konuşan hacker gruplarına veya Rus topraklarından faaliyet gösterenleri işaret ediyor.
Haziran ayında ABD makamları, Colonial Pipeline’ın büyük bir yakıt ağının kapatılmasını zorlayan Rusya merkezli fidye yazılımı grubu Darkside’a ödenen fidye ödemesini geri aldıklarını söyledi.
Saldırı kısa vadeli yakıt kıtlığına neden olmuş ve fidye yazılımının temel altyapı ve hizmetlere yönelik oluşturduğu tehdidin boyutuna dikkat çekmişti.
Covid-19 pandemi süresince, okullar ve hastaneler başta olmak üzere birçok kamu ve özel kuruluşlarına yapılan yüzlerce siber saldırı, devletlerin kritik altyapıları koruma yetenekleri konusundaki endişeleri artırdı. Clements ve Vectra CEO’su Hitesh Sheth, elektrik ve su sistemleri de dâhil olmak üzere birçok kamu hizmetinin yıllardır siber saldırılarının başlıca hedefi olduğunu belirtti. Covid-19 pandemisi boyunca dikkat çeken kritik altyapı saldırılarından biri de su arıtma tesislerine yönelik siber saldırıları olmakta.
Bugüne kadar bir bilgisayar korsanının halkın içme suyunu zehirleyerek kitlesel hastalığa ve hatta ölüme neden olduğu gerçek bir felaket yaşanmadı. Ancak son yıllarda bir dizi su arıtma tesisi siber saldırganların hedefindeydi. Diğer kritik altyapılara oranla daha az dikkat çekmesine rağmen su arıtma tesislerine yönelik saldırılarda yaşanan artış su güvenliğinin ön plana çıkardı. Su tesislerine yapılan saldırıların son zamanlarda daha mı yaygın yoksa daha mı görünür olduğu bilinmiyor, fakat su arıtma tesislerinin güvenliğine ilişkin kapsamlı bir kamusal veya özel sektör çalışması olmadığı açık.
Özellikle son yıllarda ABD’nin su tesislerinin sıkça hedef alınması kritik altyapıların güvenliği konusunda endişelere neden oldu. ABD su ve atık su sistemlerine yönelik artan siber saldırılarla birlikte kritik altyapıların savunmasızlığı konusu ülkede ve dünya gündeminde öne plana çıkarken suya, özellikle temiz ve içilebilir suya, erişimin uğruna savaşmaya değer bir şey olduğu fikri bir kez daha gündeme geldi.
Gelin sıkça gündeme gelen ABD su arıtma tesisi saldırılarına biraz daha yakından bakalım.
ABD KRİTİK ALTYAPILARINA YÖNELİK SİBER SALDIRILAR
2018’de ABD İç Güvenlik Bakanlığı (DHS) ve FBI, Rus hükümetinin özellikle su sektörünü ve diğer kritik altyapıyı hedef aldığı konusunda uyarmıştı. Aynı yıl ABD hükümeti, ülkenin kritik altyapısını siber ve fiziksel tehditlere karşı daha dayanıklı hale getirmek için Siber Güvenlik ve Altyapı Güvenliği Ajansı’nı (CISA) kurdu. Federal kurumlardan oluşan bir koalisyon ortak bir siber güvenlik raporuyla, ABD Su ve Atık Su Sistemleri (WWS) tesislerini bilinen ve bilinmeyen tehdit aktörleri tarafından “devam eden kötü niyetli siber faaliyetler” konusunda uyardı. Ortak siber güvenlik raporuna göre bu saldırılar, hükümetin içilebilir, temiz ve taşınabilir içme suyu sağlama ve atık suları yönetme yeteneğini tehdit ediyor.
Su kaynaklarına yönelik artan siber saldırılar karşısında CISA, FBI, Ulusal Güvenlik Ajansı (NSA) ve Çevre Koruma Ajansı (EPA) tarafından yayınlanan uyarı raporu, bilgisayar korsanlarının “yetkisiz erişim yoluyla sistem bütünlüğünü tehlikeye atmaya” çalıştığını belirtti.
Covid-19 pandemisi süresince uzaktan erişim araçlarının yaygınlaşmasıyla geride bıraktığımız yıl içerisinde su arıtma tesislerine yönelik bir dizi saldırı gerçekleşti. Bu süreçte ABD su tesislerine yönelik ilk saldırı Ocak 2020 ayında gerçekleşti. 15 Ocak’ta bir bilgisayar korsanı, San Francisco Körfez Bölgesi’nin bazı kısımlarına hizmet veren bir su arıtma tesisini zehirlemeye çalıştı. ABD su altyapısına yönelik artan sayıda siber saldırıdan sadece biri olan bu saldırıdan sonra başka saldırılarda gerçekleşti.
Körfez Bölgesi saldırısından birkaç hafta sonra Florida, Oldsmar’da benzer bir saldırı yaşandı. Tüm dünyada manşetlere taşınan bu olayda, bir bilgisayar korsanı benzer bir şekilde bir kullanıcıların bilgisayarlarını uzaktan kontrol etmelerini sağlayan popüler bir program olan TeamViewer hesabına erişim sağladı ve içme suyundaki küllü su seviyesini zehirli seviyelere çıkardı. Çalışanlardan birinin, bilgisayarın faresini hızla kendi kendine hareket ettiğini görmesi ile saldırı fark edilirken, bilgisayar korsanının neden olduğu değişiklikler hızla geri alındı.
2021’nin başında oldukça ses getiren Oldsmar saldırısı su arıtma tesislerine yönelik ne ilk ne de tek saldırı. Daha önce Oldsmar’dan çok da farklı olmayan bir saldırı Kansas’ta yaşanmıştı. 2019 yılında Kansas’ta içme suyu güvenliğini tehdit eden bir siber güvenlik ihlali yaşandı. Tesisin eski bir çalışanının, kullanıcı kimlik bilgilerini kullanarak bilgisayara uzaktan eriştiği ve içme suyu güvenliğini tehdit ettiği belirtildi. Benzer olaylar diğer eyaletlerde de meydana geldi. Kaliforniya, Maine, Nevada ve New Jersey’de bunlardan sadece bazıları.
CISA‘nın siber güvenlikten sorumlu genel müdür yardımcısı Eric Goldstein, fidye yazılımı (Ransomware) saldırılarını ve devam eden siber tehditleri işaret ederek yaşanan gelişmeleri, “… tüm kritik altyapı sahiplerinin ve operatörlerinin siber güvenliği neden birinci öncelik haline getirmeleri gerekliliğini…” gösteren gelişmeler olarak nitelendirdi.
FBI tarafından yayınlanan siber güvenlik raporunda, Mart 2019 ile Ağustos 2021 arasında beş eyaletteki su sistemlerinin fidye yazılımı saldırıları veya diğer yöntemlerle siber saldırganlar tarafından hedef alındığı vurguladı. Bir diğer rapor CISA yetkilileri tarafından geçtiğimiz Ekim ayında yayınlandı. Raporda, bilgisayar korsanlarının son sekiz ay içinde ABD’deki üç su arıtma tesisini yönelik fidye yazılımı saldırısı gerçekleştirdiği, belgelenen en son fidye yazılımı saldırısının ise Ağustos 2021’de Kaliforniya merkezli bir su arıtma tesisini hedef aldığı belirtildi.
Tüm bu saldırılar arasında ülke içerisinde ve dünya gündemindeki kritik yankılarıyla öne çıkan Oldsmar saldırısını kısaca hatırlamakta fayda var. Kritik altyapıların siber güvenliğinin önemini gösteren gelişmelerden biri olan Oldsmar saldırıları bu bağlamda ayrı bir değer taşımakta.
OLDSMAR SALDIRISI
Yerel yetkililere göre, 5 Şubat 2021’de kimliği belirsiz bir bilgisayar korsanı Florida’nın Oldsmar kasabasındaki bir su arıtma tesisinin bilgisayar sistemine girdi ve tesisin sodyum hidroksit ayarını geçici olarak tehlikeli olabilecek bir seviyeyle değiştirdi. Bilinmeyen davetsiz misafir, tesis içindeki ekipmanı kontrol eden bir bilgisayara uzaktan erişim sağladıktan sonra sodyum hidroksit miktarını (daha çok lye olarak bilinen kostik bir kimyasal) 100 kat artırdı. Lye suda çözünebilen ve genellikle toksik metal seviyelerini azaltmak amacıyla içme suyunu arıtmak için kullanılan bir madde. Bununla birlikte, büyük miktarlarda kimyasal yanıklara neden olabilir, bu yüzden oldukça tehlikelidir.
Girişim, ayarlardaki değişikliği tersine çevirebilen bir operatör tarafından kimyasal tehlikeli seviyeye ulaşmadan önce engellendi. Saldırı su tesisi çalışanının, fare imlecinin kontrolü dışında bilgisayar ekranında hareket ettiğini fark etmesiyle ortaya çıktı.
Yaklaşık 15 bin vatandaşa ve işletmeye su tedarik ettiğini bilinen Oldsmar saldırısı erkenden kontrol altına alınmasaydı yaşanan olay su kullanacak binlerce insanın sağlık problemlerine, ciddi hastalıklara veya ölümlere neden olabilirdi. Kaliforniya merkezli bir siber istihbarat sağlayıcısı olan Dtex Systems’ın kıdemli uzmanı Lynsey Wolf’a göre, tesis operatörü sistemi izlemeseydi saldırı canlı hayatını tehdit eden herhangi bir hasar vermeden durdurulamayabilirdi.
Değişiklik hızlı bir şekilde tespit edilip tersine çevrildiği için bölge sakinleri sorun yaşamadı. Yetkililerin açıklamalarına göre, değişiklik geri çevrilmemiş olsa bile, arıtma tesisinin evlere ve işyerlerine su temin etmeden önce tehlikeli durumu tespit etmek için tekrar kontrol etme mekanizması vardı. Zehirli suyun şehrin nüfusuna ulaşması 24 ile 36 saat arasında süreceği için otomatik PH testi önlemlerinin olası durumda alarmı çalıştıracağı ve kimse zarar görmeden değişimin yine de yakalayacağı söylendi.
GÜVENLİK AÇIKLARI
Massachusetts yetkililerinin aktardığı bilgiye göre, Oldsmar çalışanları, SCADA olarak bilinen tesis kontrollerine uzaktan erişmek için işletim sistemi Windows 7 olan bilgisayarlar kullandılar ve TeamViewer aracılığıyla sisteme erişim sağladılar. Dahası tesisteki tüm kullanıcılara uzaktan erişim için aynı parolanın paylaşıldığı ve bilgisayarların herhangi bir güvenlik duvarı olmaksızın doğrudan Internet’e bağlanmış olduğunu bildirildi. The Wall Street Journal’a göre, fabrikanın TeamViewer’ı kullanmayı altı ay önce bırakmasına rağmen yine de sistemde kurulu halde bırakmıştı. The Verge tarafından yayınlanan habere göre ise Florida su arıtma tesisi, bilgisayarlara ve su arıtma sistemlerine tam erişim sağlayabilecek yazılımlar için bireysel şifreler verme zahmetine girmemişti.
Yani bilgisayarlar internete herhangi bir güvenlik duvarı olmaksızın bağlıydı ve sistemleri kontrol eden tüm bilgisayarlara uzaktan erişim için aynı şifre verilmişti.
Oldsmar saldırısı sonrası FBI tarafından yayımlanan bildiride, zayıf güvenlik önlemlerinin varlığına dikkat çekilirken, bilgisayarlarda güvenlik duvarının olmamasının siber saldırılar karşısında kurumu zayıf kıldığı vurgulandı. Ayrıca FBI, şirketlere ve hükümetlere yönelik ilettiği bildiride, bilgisayar korsanının Florida su arıtma tesisine girmek için yararlandığı güvenlik zafiyetlerinin “zayıf şifre güvenliğ” ve “eski Windows 7” kullanımı olduğunu belirtti. FBI, güncel olmayan Windows 7 sistemleri, zayıf parolalar ve TeamViewer’ın kullanımı konusunda kullanıcıları uyarırken özel şirketleri ve kamu kuruluşlarını iç ağları gözden geçirmeye ve güvenlik öncelikli politikalar belirlemeye çağırıyor.
Benzer bir şekilde CISA, yaptığı uyarıyla Windows 7‘nin devam eden kullanımının siber aktörlerin bilgisayar sistemlerine erişim riskini artırdığını belirtti. Hatırlanacağı üzere Microsoft, Windows 7′yi 2009 yılında piyasaya sürdü. Ardından çıkan Windows 8 (2012) kullanıcı dostu olmadığı için 2015’te Windows 10 çoğu bilgisayar için tercih edilen işletim sistemi olarak çıkardı. Son olarak Microsoft, Windows 7 desteğini 14 Ocak 2020’de sona erdirdi.
Gelişmeler açıkça gösteriyor ki gerekli önlemler alınmadığı takdirde kritik altyapı sistemleri saldırılar karşısında daha savunmasız ve daha kolay erişilebilir duruma gelebilir.
Kritik altyapı sistemleri hem uzaktan erişim teknolojileri üzerinden hem de bu teknolojiler aracılığıyla saldırılara karşı savunmasız durumda.
Birçok siber güvenlik uzmanı, Covid-19 pandemi sürecinin bir sonucu olarak TeamViewer gibi uzaktan erişim araçlarının kullanılmasına hızla geçişin dijitalleştirmenin artmasına neden olduğunu belirtti. Ancak daha önce bahsettiğimiz siber saldırılarda da görüldüğü üzere dijitalleşmenin olumlu yanları olduğu kadar olumsuz yanları da olabilmekte. Maryland merkezli bir güvenlik bilgi sağlayıcısı olan Point3 Security’nin strateji başkan yardımcısı Chloé Messdaghi, yetersiz güvenlik önlemlerinin yanı sıra tesisin Covid-19 nedeniyle uzaktan çalışmaya devam etmesinin sistemin saldırılar karşısında daha da savunmasız kıldığını sözleri bunu destekler nitelikte.
Cato Networks güvenlik şirketi kıdemli direktörü Etay Maor, uzaktan erişim ve yönetim sistemlerine duyulan ihtiyaç ve artan bağımlılığın bilgisayar korsanlarının sistemlere zarar vermesini kolaylaştırdığını belirtti. Siber saldırganlar için bu tür uzaktan araçlar kullanılarak çeşitli kamu hizmeti kuruluşlarına erişimin basit olduğunu belirten Maor, saldırganların kritik altyapı sistemlerinin kontrol etmekten bir tık uzaktaolduğunun altını çizdi.
Diğer yandan güncellenmiş teknoloji beraberinde siber güvenlik uzman ihtiyacını getirdiği için kritik altyapı güvenliği sorunlarına yol açabiliyor. Yetkililer sektöre giren yeni teknolojik araçlarla birlikte güvenlik endüstrisinin bu tür bilgisayar korsanlık faaliyetlerini tespit edecek uzmanlığa sahip olmakta zorlandığını belirtiyor.
Kritik altyapıların güvenli hale gelmesi için sistemlerin uygun şekilde güvenli hale getirilmesi, kimlik doğrulama için yalnızca bir kullanıcı adı ve paroladan fazlasını kullanması, sistemin tehditler ve güvenlik ihlali girişimlerine karşı sürekli olarak izlenmesi gerekir.
KRİTİK ALTYAPILARDA ÖNLEMLERİN ÖNEMLİ
Endüstriyel kontrol sistemi güvenlik firması Dragos‘un baş tehdit analisti Lesley Carhart, Oldsmar’ın su sistemlerine yönelik siber saldırıların benzersiz olmadığını belirtirken kritik altyapılara yönelik siber saldırıların ciddi sonuçlarına dikkat çekti. Carhart, günümüz teknolojilerinin kamu-özel sektör fark etmeksizin kritik altyapı sistemlerinin gerekli güvenlik önlemleri almasını zorunlu kıldığını sözlerine ekledi.
Siber güvenlik şirketi Claroty’nin baş ürün sorumlusu Grant Geyer, ABD’de yaşanan saldırıların dünyayı bekleyen bir dizi saldırılardan sadece bazıları olduğunu belirtti. Geyer, olası güvenlik sorunları karşısında kritik altyapı sistemlerinin eskiyen altyapılarının değiştirilmesi, güvenlik önlemlerinin geliştirilmesi ve çalışan siber uzmanların sayılarıyla birlikte yetkinliklerinin artırılmasının önemine işaret etti. Benzer bir şekilde Adam Bixer, siber güvenlik şirketi BlueVoyant’ın üst düzey çalışanı, siber saldırıların sürekli gelişen doğasını yakalamak için su arıtma tesislerinin sürekli olarak ekipmanlarını yenilemesini, yazılımlarını ve teknolojilerini güncellemelerini, dahası BT (Bilgi Teknolojileri) çalışanlarının beceri düzeylerini artırmak için daha sıkı çalışmaları gerektiğini belirtti.
Kritik altyapı sistemlerinin siber güvenliğinin sağlanmasın karşılaşılan benzersiz zorluklara rağmen son derece gerekli ve önemlidir. Her geçen gün daha fazla bilgisayar korsanı, küresel olarak BT ve operasyonel teknolojilerinin (OT) bileşenindeki yeni boşluklardan yararlanmaya çalışırken, güvenlik uzmanlarının kritik altyapı esnekliği ve performansını sağlamak için ağlarını koruması gerekir.
Güvenlik uzmanları uzun süredir maksimum güvenlik için sadece BT ve OT ağlarını ayırmayı değil, aynı zamanda operasyonel teknoloji sistemlerinin internetle olan tüm bağlantıları sınırlandırmayı veya ideal olarak ortadan kaldırmayı tavsiye ediyor. Çünkü, yetkililerin de belirttiği üzere, tesislere yönelik saldırılar OT sistemlerinin dışarıdan erişilebilir olduğunu ve tüm kanıtların saldırganın sistemlere internetten erişim sağladığını gösteriyor. Bunu destekler bir açıklama Florida, Pinellas County şerifi Bob Gualtieri’den geldi. Gualtieri, saldırıları kritik altyapı bileşenlerinin neden birbirine bağlanmaması gerektiğini hatırlatan gelişmeler olarak yorumlarken bu durumun sistemleri savunmasız kıldığını dile getirdi.
KRİTİK SU ALTYAPISININ KORUNMASI
Ülkenin tüm kritik altyapıları arasında su, bilgisayar korsanlarına karşı en savunmasız olanı olabilir. Dahası halka açık su sistemlerinin doğası gereği çevreye, ekonomiye ve vatandaşa zarar verme potansiyeline sahip olması kritik altyapıları saldırganlar için çekici kıldığı bir gerçek.
Federal kurumların yayınladığı ortak siber güvenlik raporuna göre, su tesislerinin karşılaştığı yaygın siber tehditler OT ağlarını, sistemlerini ve cihazlarının hedeflediğini saldırılar olmakta. Ayrıca rapor tehdit aktörlerinin, su tesislerini tehlikeye atmak için desteklenmeyen, savunmasız veya eski işletim sistemlerini ve yazılımları hedef aldığı belirtti. Dahası tehdit aktörleri, su kaynağında, arıtma tesisindeki, depolama tesisindeki veya dağıtım merkezindeki suya saldırabilir. Güvenli suya bağlı olan sağlık, enerji, tarım ve acil durum hizmetlerini içeren kritik altyapılar saldırılar nedeniyle hizmet aksaklıkları yaşayabilir.
Bununla birlikte su hizmetleri güvenlik ekipleri ve kamu-özel sektör kuruluşları, kritik altyapıların siber güvenliğini iyileştirmek için etkili önlemler belirlemeli ve uygulamalıdır. Güvenlik ekipleri, sektördeki tehditleri hızla tespit etmek ve bunlara yanıt vermek için proaktif bir stratejiye ihtiyaç duyabilir. Kapsamlı bir güvenlik çalışması için stratejinin hem OT’yi hem de BT’yi kapsaması gerekir.
ARTAN RİSKİ YÖNETMEK
Kritik altyapının güvenliğinin sağlanması, halkın sağlığı ve güvenliği için esastır. Kamu hizmeti güvenlik ekiplerinin doğru siber güvenlik çözümleri ile tehdidi tespit etmek ve hızlı yanıt verebilmek için ortalama süreyi verimli bir şekilde azaltarak saldırıyı hızlı bir şekilde analiz edebilmelidir. Güvenlik ekipleri, tüm ağı izlemek ve tehlikeli içme suyunun halka ulaşmasını önlemek için gerekli önlemleri almalıdır. Buradaki amaç, siber saldırıların neden olduğu zararı sınırlamayı hedefleyen “önce güvenlik” yaklaşımını benimseyerek kritik su altyapısını etkin bir şekilde korumaktır.
Elbette ki güvenlik önlemleri sürecinde bazı zorluklarla karşılaşabilir. Bunlardan biri bütçe sıkıntısıdır.
CISA eski müdürü Christopher Krebs, Florida’daki su arıtma tesisini zayıf güvenlik uygulamaları nedeniyle eleştirilmesinin yanı sıra ABD’deki birçok kamu hizmeti kuruluşunun yetersiz fondan muzdarip olduğunun unutulmaması gerekliliğine dikkat çekti. Yaşanan saldırıların tek sorumlularının Oldsmar yetkilileri olmadığını belirten Krebs, bu gibi kurumların sağlam güvenlik programlarına sahip olmak için yeterli kaynağa sahip olmadığını ve kritik altyapıların güvenliği için verilen fonların artırılması gerektiğini dile getirdi.
Benzer bir açıklama da Nozomi Networks’ün kurucu ortağı Andrea Carcano’dan geldi. Carcano, endüstriyel kontrol sistemi kurulumunun, özellikle de daha küçük bütçeli olanlarının, güvenliğinin genellikle göz ardı edildiğini belirtirken, bu durumun siber saldırı riskleri arttırdığını dile getirdi.
Carhart ise su arıtma ve kanalizasyon tesislerinin, Covid-19 pandemisinin dayattığı bütçe kesintileri ve uzaktan çalışma zorunlulukları nedeniyle ABD’deki dijital olarak en savunmasız kritik altyapı hedeflerinden bazıları olduğunu söyledi.
Elektrik şebekesinin aksine, ABD’deki 50.000’den fazla içme suyu tesisinin çoğu kâr amacı gütmeyen küçük kuruluşlardır. Endüstriyel siber güvenlik sistemleri danışmanı Bryson Bort, özellikle kırsal bölgelerin suyunu, genellikle siber güvenlik uzmanları olmayan yalnızca bir avuç çalışan tarafından işletilen küçük tesislerden aldığını belirtti.
SU ARTIMA TESİSLERİNİN GÜVENLİĞİ: ABD
ABD istihbaratı ve kolluk kuvvetleri yetkilileri, farklı eyaletlerde yaşanan olaylara dayanarak yayınladığı bültende fidye yazılımı saldırganlarının su ve atık su tesislerini hedef almaya devam ettiği konusunda uyardı.
2019’da Amerika Birleşik Devletleri’nin siber tehditlere karşı savunma için stratejik bir yaklaşım geliştirmek üzere kurulmuş olan Siber Uzay Solaryum Komisyonu, elektrik şebekesi ve finansal sistem ile su ve atık su tesislerinin siber saldırılar karşısında ülkenin kritik altyapı sisteminin en savunmasız bileşenlerinden birini oluşturduğunu söyledi.
Siber güvenlik uzmanları, ABD su tedarik ağının parçalı yapısının, ülke genelinde 70.000’e yakın bireysel su ve atık su kuruluşu var, siber saldırılar karşısında savunmasızlığa katkıda bulunduğunu belirtiyor. Su tesislerinin, petrol ve gaz boru hattı şebekesi ya da elektrik şebekesini oluşturan şirketlerle karşılaştırıldığında çoğunlukla daha küçük olmasının bunu destekleyen bir diğer etken olduğu öne sürülüyor. Dahası yetkililer, ABD’deki su arıtma tesislerinin çoğunlukla eski BT ekipmanlarına sahip olduğunu ve siber savunmalarını güncellemek için yeterli bütçelerinin olmadığının tekrar altını çizdi. Ayrıca ülke çapında su arıtma tesislerine yönelik siber güvenlik denetiminin hiçbir zaman yapılmadığı da verilen bilgiler arasında.
Saldırılarla birlikte su tesislerine yönelik araştırmalar da artarken çıkan sonuçlar durumun ciddiyetini ortaya koyuyor.
CISA’nın konuya ilişkin yakın zamanlı araştırması birçok olumsuz sonuçlar buldu. Her 10 su ve atık su tesisinden 1’inin yakın zamanda kritik bir siber güvenlik açığı tespit edildi. En şok edici olansa, incelenen tesislerin sahip olduğu büyük güvenlik açıklarının %80’inden fazlası, 2017’den önce keşfedilen yazılım kusurları olduğu gerçeği. Bu durum çalışanların yaygın bir şekilde yazılım güncellemesi yapmadığını ve güvenliğe gereken önemin verilmediğini açıkça gösteriyor.
Bir diğer araştırma siber güvenlik firması ThreatLocker tarafından yapıldı. Yayınlanan güncel raporda, ülke genelinde su hizmetleri için bilgi teknolojisi ve operasyonel teknolojilere ciddi derecede sınırlı finansal kaynaklar ayrıldığı açıklandı. Örneğin, Bilgi Sistemleri Denetim ve Kontrol Derneği’nin (ISACA) “Siber Güvenlik 2021 Endüstrinin Durumu”na göre, ülke çapındaki sistemlerin en az %38′i, genel bütçelerinin %1’inden azı BT siber güvenliğine ayrılmış durumda.
ACİL BİR HATIRLAMA
Yaşanan gelişmeler ABD kritik altyapısı ve kritik altyapılara yönelik siber saldırılar konusunda acı bir hatırlatma olarak yorumlanabilir. ThycoticCentrify kamu sektörü Başkan Yardımcısı Bill O’Neill, “Oldsmar su tesisi olayı ve yeni ortaya çıkarılan su kaynağı saldırıları, kuruluşlara bir siber saldırı gerçekleşmeden önce önlem alınması konusunda acil bir hatırlatma görevi görmelidir” diyor.
Kritik altyapılara yönelik olası siber saldırıların ciddi sonuçlar doğurabileceği bilinen bir gerçek. Saldırılar sonucunda kullanım suyunun kirlenmesi, gaz hattının sızıntı yapması veya bir elektrik merkezinin patlamasının yarattığı etkiler oldukça korkutucu olabilir. Bu bağlamda yaşanan gelişmeler, ülkenin kritik altyapısındaki güvenlik ihlallerinin hayati tehlike arz edebileceğinin açık bir hatırlatıcısı.
Oldsmar saldırısı ve benzeri saldırılar, dünya genelinde meydana gelen olası saldırılara ilişkin endişeleri artırdı. Bu bağlamda Oldsmar saldırısı, kritik altyapıların güvenliği konusunun önemini gösteren bir gelişme olmasının yanı sıra diğer devletler için ciddi bir uyarıdır. Dahası yaşananlar su arıtma tesislerine yönelik saldırıların bir ulusal güvenlik meselesi olarak ele alınması gerekliliğini tüm dünyaya açıkça gösteriyor. Elbette ki kritik altyapıların siber güvenliğinde kamu-özel sektör iş birliğinin önemine de unutulmamalı. (Dilerseniz kritik altyapıların siber güvenliğinde kamu-özel sektör iş birliğinin önemine ilişkin yazımıza şu linkten ulaşabilirsiniz.)
Kısa özetlemek gerekirse ABD artan su tesislerine yönelik saldırılar, kritik altyapıların siber güvenliği konusunun önemini tekrar göstermekle kalmıyor ciddi güvenlik açıklarının yaratabileceği sorunların kamu ve özel sektör için ne kadar yıkıcı olabileceğini gözler önüne seriyor.
