İranlı General Kasım Süleymani’nin Bağdat’ta öldürülmesinin ardından Tahran’ın ABD’ye nasıl bir karşılık vereceği tartışılmaya devam ediyor. Irak’ta bulunan Amerikan üslerine yönelik füze saldırıları ile askeri adım atan İran’ın siber alanda da ABD çıkarlarını hedef alacağı bekleniyor.
Kritik altyapılarda siber güvenlik üzerine çalışan Dragos şirketi, İranlı hackerların hedefinde Amerika’nın elektrik dağıtım şebekelerinin olduğu bulunduğunu ve bu sistemlere yönelik bazı hacking faaliyetlerini tespit ettiklerini açıkladı.
Elektrik sistemlerine yönelik artan siber faaliyetlerin değerlendirildiği rapora göre, 2017’de ortaya çıkan ve şirketin Magnallium adını verdiği bir hacker grubu son zamanda elektrik sistemlerini hedef alarak büyük bir ‘parola spreyleme’ kampanyası başlattı. Spreyleme yöntemi binlerce hesap için sıkça kullanılan parolaların denenmesine deniyor. Raporda grubun aynı zamanda petrol ve gaz firmalarını da hedef aldığı ifade edildi.
Aynı zamanda APT33 olarak da bilinen farklı şirketler tarafından Refined Kitten ve Elfin olarak da adlandırılan grup daha önceki operasyonlarında İran ile ilişkilendirilmiş ve devlet desteği olduğu iddia edilmişti.
Magnallium ile birlikte çalışan bir başka grup ise Parasite. Dragos’un raporunda bu grubun da aynı hedeflere yönelik siber operasyonlar düzenlediği fakat daha çok VPN yazılımlarına yöneldiği belirtildi. Dragos’a göre iki grubun da hedeflerine sızma girişimleri 2019 yılında artmaya başladı ve son zamanlarda gözle görülür şekilde yükseldi.
Wired’da yayınlanan habere göre, Dragos, bu sızma girişimlerinden herhangi birinin başarılı olup olmadığı ile ilgili soruyu cevapsız bıraktı.
Bu zamana kadar tespit edilen saldırılardan İranlıların ABD’de bir kaosa yol açacak (bir elektrik kesintisi gibi) çapta bir saldırıyı gerçekleştirmek için teknik yeterliliğinin olmadığı kaydedildi. Ancak yine de kritik altyapı işleticilerinin siber operasyonlara karşı uyanık kalması uyarısı yapıldı.
Eski NSA çalışenı ve şirketin CEO’su Rob Lee raporla ilgili açıklamada asıl endişe vermesi gerekenin İranlıların sistemlere daha önceden erişim elde etmiş olma ihtimali olduğunu söyledi: İranla ilgili endişem önümüzdeki dönemde geniş çaplı operasyonlar görmek değil. Asıl endişe kaynağı İranlıların zaten bu sistemlere erişim elde etmiş olması.”
Geçtiğimiz Haziran ayında ABD’nin nükleer antlaşmadan çekilmesinin ardından İran’dan ABD’li hedeflere yönelik oltalama saldırılarında artış gözlemlenmişti:
İran’ın 2012 yılında New York yakınlarındaki bir barajın sistemine erişim sağladıkları fakat sadece konfigürasyonu öğrenip sistemde herhangi bir değişiklik yapmadan çıktıkları ortaya çıkmıştı.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
Ukrayna’da 2016 yılında enerji tesislerini hedef alan siber saldırının bu zamana kadar elektrik kesintisine neden olma amacıyla yapıldığı düşünülüyordu. Siber güvenlik şirketi Dragos’un saldırıdan 3 yıl sonra yaptığı yeni bir inceleme, siber saldırının çok daha fazla hasara yol açma amaçlı olduğunu gösterdi.
Ukrayna’daki enerji nakil hatları şebekesine 2016 yılında düzenlenen siber saldırı üç yıldır kafa karıştırmaya devam ediyordu. 2016 yılında yılbaşından iki gün önce Rus hackerlar Ukrayna’nın ulusal şebeke operatörü Ukrenergo’nun ağına daha önce görülmemiş bir zararlı yazılım türü yerleştirdiler. Hackerlar bu yazılımı gece yarısından hemen önce Kiev’in kuzeyindeki bir aktarım istasyonunda bulunan devre kesici anahtarları açmak için kullandılar. Neticede, Rusya’nın batıdaki komşularına yönelik yıllardır devam eden siber savaşındaki etkileri itibariyle en geniş çaplı saldırı gerçekleşmiş oldu.
Ancak bir saat sonra, Ukrenergo operatörleri elektrik akımını yeniden sağlamayı başardılar. Geride akıllarda şu soru kaldı: Rus hackerlar neden sofistike bir siber silah yaratıp bunu sadece bir saatlik bir elektrik kesintisi tetiklemek için ülkenin güç şebekesinin kalbine yerleştirdi?
AMAÇ FİZİKSEL DONANIMLARI YOK ETMEK Mİ?
Ortaya atılan yeni bir teori bu sorunun cevabı olma potansiyelini barındırıyor: Siber güvenlik şirketi Dragos’taki araştırmacılar, Ukrenergo’nun sistemlerinden alınan zararlı yazılım kodunun ve ağ kayıtlarının bir kez daha incelenmesine dayanarak 2016 saldırısını yeniden masaya yatırdı. Araştırmacılar, hackerların aslında sadece şebekenin kısa süreli bozulmasına neden olmakla kalmayıp, haftalarca hatta aylarca sürecek elektrik kesintilerine neden olabilecek kalıcı zarar verme amacında olduklarını ileri sürüyorlar. Bu ayrıma göre karartma amaçlı görünen zararlı yazılım, fiziksel donanımları bozmakla kalmayıp, onu yok etmeyi amaçlayan bir şeye dönüşüyor.
Dragos analisti Joe Slowik’e göre “Saldırı doğrudan kesintiye sebep olan bir olay ile sonuçlanmış olsa da kullanılan araçlar ve bunların kullanım sırası, açık bir şekilde saldırganların amacının birkaç saatliğine ışıkları kapatmaktan çok daha fazlası olduğuna işaret ediyor” Slowik, saldırganların hedefteki aktarım istasyonuna zarar verecek koşullar yaratmaya çalıştıklarını düşünüyor.
‘KORUMA RÖLESİNİ DEVRE DIŞI BIRAKARAK KALICI ZARAR VERMEK İSTEDİLER’
‘Industroyer’ ya da ‘Crash Override’ olarak da bilinen Ukrayna’yı hedef alan zararlı yazılım, Slovak siber güvenlik şirketi ESET tarafından açığa çıkarılmasıyla birlikte siber güvenlik topluluğunun dikkatini çekmişti. Yazılım, çeşitli enerji tesislerinde devre kesicileri açmak ve elektrik kesintilerini tetiklemek için kullanılan dört farklı protokolde otomatik, hızlı komutlar gönderebilen özellikler de dahil olmak üzere, elektrik tesisi ekipmanı ile doğrudan etkileşimde bulunma özelliğine sahipti.
Ancak Dragos’un ortaya koyduğu yeni bulgular, daha ziyade ESET’in orijinal analizinde tarif edilen ancak o zaman tam olarak anlaşılmayan, zararlı yazılımın unutulmuş bir bileşeni ile ilgili. ESET’in işaret ettiği üzere, zararlı yazılımın bu gizli bileşeni, Siprotec koruma rölesi olarak bilinen bir Siemens ekipmanındaki bilinen bir güvenlik açığından yararlanmak üzere tasarlanmış. Koruma röleleri elektrik motorlarını şebekeden gelecek olumsuzluklara karşı korumak amacıyla kullanılan bir tür ekipman.
Siemens koruma rölelerindeki güvenlik açığı, söz konusu cihaza tek bir veri paketi gönderebilecek olan hackerların, cihazı ürün yazılımı güncellemeleri için amaçlanan bir uyku moduna alıp, manuel olarak yeniden başlatılana kadar cihazı işe yaramaz hale getirebileceği anlamına geliyordu. 2017 yılında ESET, bu zararlı yazılım bileşeninin rahatsız edici etkilerini fark etmiş; Industroyer’in yaratıcılarının fiziksel hasar verme niyetiyle hareket etmiş olabileceklerini ima etmişti. Ancak Siprotec hackleme özelliğinin aslında daha uzun süreli hasara neden olabileceği konusu o sıralar açıklık kazanmamıştı. Ne de olsa, hackerlar sadece Ukrenergo’daki gücü kapatmışlar, koruma rölesini devre dışı bırakmanın yol açabileceği bir tür tehlikeli güç dalgalanmasına neden olmamışlardı.
AĞ KAYITLARI BİR DEVLET KURULUŞUNDAN SIZMIŞ
Dragos’un analizi ise Ukrenergo saldırısında puzzle’ın eksik kısmını tamamlayabilecek nitelikte. Ukrayna’daki tesislerin ağ kayıtlarını ismini vermeyi reddettikleri bir devlet kuruluşundan aldıklarını söyleyen şirket, ilk defa hackerların gerçekleştirdiği operasyonun meydana gelme koronolojisini ortaya koydular. Buna göre ilk olarak saldırganlar iletim istasyonundaki her bir devre kesiciyi açarak elektrik kesintisini tetikledi. Bir saat sonra, iletim istasyonunun bilgisayarlarını devre dışı bırakarak, tesis personelinin istasyonun dijital sistemlerinden herhangi birini görüntülemesini önleyen bir silme bileşenini devreye soktular. Saldırganlar ancak o zaman, arıza emniyet cihazını sessizce devre dışı bırakmak amacıyla zararlı yazılımın Siprotec hackleme özelliğini, tesis operatörlerinin zafiyeti tespit etmelerine meydan vermeden, istasyonun dört koruma rölesine karşı kullanabildi.
Dragos analistlerine göre amaç, Ukrenergo mühendislerinin istasyonun donanımına manuel olarak aceleyle yeniden enerji vererek kesintiye yanıt vermelerini sağlamaktı. Bunu arızaya karşı koruma rölesi olmaksızın manuel olarak yapmak, bir trafo veya elektrik hattında tehlikeli bir aşırı akım yüklenmesini tetikleyebilirdi. Felakete yol açma potansiyeli barındıran hasar, tesisin elektrik iletiminde birkaç saatten çok daha uzun süre aksamalara yol açabilirdi. Aynı zamanda tesis çalışanlarına da zarar verebilirdi.
Neticede plan başarısız oldu. Dragos başarısız olma nedenini tam olarak açıklayamasa da bunu muhtemelen hackerların yaptığı bir ağ yapılandırma hatasına bağlıyor. Ukrenergo’nun koruma röleleri için tasarlanan zararlı veri paketleri yanlış IP adreslerine gönderilmiş olabilir. Ya da Ukrenergo operatörleri elektriği hackerların beklediğinden daha hızlı bir şekilde açmış ve koruma röle sabotajını atlatmış da olabilir. Siprotec saldırıları kendilerine isabet etse bile, istasyondaki yedek koruyucu röleler felaketi önleyebilirdi – Dragos’un analistleri, Ukrenergo’nun güvenlik sistemlerinin tam bir resmi olmadan, potansiyel sonuçları tamamen çözemediklerini söylüyor. Siprotec saldırısı hedefi tutturmuş olsaydı bile, istasyondaki yedek koruma röleleri felaketi önleyebilirdi. Dragos analistleri Ukrenergo’nun güvenlik sistemlerine dair tam bir görüntü olmadan olası sonuçları bütünüyle ortaya koymanın mümkün olmadığını belirtiyorlar.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
