Rusya’nın Ukrayna’yı hedef almasıyla baş gösteren enerji krizi tüm Avrupa’yı etkilemeye devam ederken, Rus hackerların Avrupa’daki gaz terminallerini hedef aldığı ortaya çıktı.
Siber güvenlik şirketi Dragos’un RTL Z’ye yaptığı açıklamaya göre hackerlar Hollanda LNG terminallerinin sistemlerinde “keşif araştırması” yapıyor ve sistemlere girmenin yollarını bulmaya çalışıyor.
Amerikan siber güvenlik şirketi Dragos’tan Casey Brooks olayın ciddiyetini şu sözlerle ifade etti: “LNG terminallerinin hedef olduğunu biliyoruz. Mesele sadece ne zaman ve nasıl saldırılacağı” Brooks, Xenotime ve Kamacite adlı hacker gruplarının Gasunie’nin Rotterdam’daki Eemshaven LNG terminalinin dijital sistemlerini kurcaladığını söyledi: “Bunlar, dijital bir saldırıyla potansiyel olarak nerede etki yaratabileceklerini görmek için yapılan testler.”
FBI’A GÖRE XENOTİME VE KAMACİTE RUS GİZLİ SERVİSİYLE BAĞLANTILI
Hollandalı EclecticIQ şirketi de Avrupa ve Hollanda’daki kritik altyapılarda daha fazla faaliyet olduğunu fark etti. EclecticIQ’dan Joep Gommers RTL’ye yaptığı açıklamada, bu açıdan bakıldığında Rus hackerların şimdilerde Hollanda LNG terminallerini hedef almasının mantıklı olduğunu söyledi ve ekledi: “Bu kesinlikle Rusya’nın çalışma şekli”
Siber güvenlik firması Fox-IT uzmanlarına göre enerji krizi nedeniyle bu sektördeki şirketleri hedef alan kötü niyetli taraflardan gelen somut bir tehdit bulunuyor. Bir sözcü şu ifadeleri kullandı: “Bu tehdit özellikle de LNG’nin tedarik ve dağıtımına yönelik tedarik zincirini hedef alıyor. Bu sektörle ilgilenen taraflar muhtemelen devlet destekli kötü niyetli gruplar, örneğin Rus FSB ve GRU tarafından yönetilen gruplar.”
Avrupa Parlamentosu VVD Üyesi Bart Groothuis, Rusya’nın doğalgaz kaynaklarını hedef aldığının farkında. Gazın, Rusya’nın AB’ye karşı kullanmayı en çok sevdiği silah olduğunu söyleyen Groothuis, “Enerji piyasasında kaosa neden olmak ve bu piyasayı manipüle etmek jeopolitik bir hedeftir” dedi.
Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NSCS), ülkedeki internete açık tüm cihazları zafiyetlere karşı tarayacak.
Siber saldırılara karşı kullanıcılara yardım etmek ve güvenlik tutumlarını artırmak için yapılacak olan bu tarama görevi giderek karmaşıklaşacak.
YÜKSEK ETKİYE SAHİP ZAFİYETLER TARANACAK
NSCS’den yapılan açıklamada, “Ülkede bulunan ve internete bağlanabilen tüm cihazların zafiyetlere yönelik taranacağı” belirtildi.
Söz konusu taramaların amacını kamuoyuyla paylaşan NSCS, İngiltere’nin siber saldırılara karşı durumunu değerlendirmek, bağlı cihaz ve sistemlerin zafiyetlerini görmek olarak tanımladı.
Açıklamada “Yapılacak faaliyetler, yaygın ve özellikle yüksek etkisi olan zafiyetleri ve Birleşik Krallık’ta var olan, internete erişimi bulunan tüm sistemleri kapsayacak.” ifadeleri kullanıldı.
NSCS, “Taramalar ‘scanner.scanning.service.nscs.gov.uk’ ve iki IP adresiyle bulut bazlı ortamdaki araçlar yardımıyla gerçekleştirilecek.” dedi. Kurumun açıklamasında ayrıca “Birleşik krallık interneti taranmadan önce herhangi bir sorunu tespit etmek için tüm zafiyet incelemelerinin kendi ortamında test edildiği” bilgisine de yer verildi.
NSCS direktörü Ian Levy ise, “Kötü amaçlar için güvenlik zafiyetleri bulmaya çalışmıyoruz. Basit aramalarla başlayacağız fakat taramaların karmaşıklığını yavaşça artıracağız. Ne yaptığımızı ve niye yaptığımızı da açıklayacağız.” diye konuştu.
Yapılacak olan taramalardan toplanacak veriler, hizmet ve sunuculara bağlanırken gönderilen ve alınan verileri içerecek.
İstekler, taranacak sistemlerin güvenlik zafiyetinden etkilenip etkilenmediğini belirlemek için gereken minimum miktarda veriyi toplamak üzere tasarlanacak.
İşlemler sonucunda hassas veya kişisel veriler yanlışlıkla toplanırsa da bu verilerin kaldırılacağı taahhüt edilecek.
Kişiler, hariç tutulmasını istedikleri IP adreslerinin bir listesini e-posta yoluyla NSCS’ye göndererek sunucularının hükûmet tarafından taranmasını devre dışı bırakabilecek.
Avrupa’da Rus doğal gazının arzıyla ilgili sıkıntılar yaşanırken, kıtada önemli bir enerji şirketine siber saldırı düzenlendi
Gaz boru hattı operatörü ve enerji şirketi Encevo saldırının ardından birçok Avrupa ülkesindeki müşterilere kimlik bilgilerini güncelleme çağrısı yapıldı.
Lüksemburg merkezli enerji tedarikçisi Encevo, 25 Temmuz’da iştiraklerinin bir fidye yazılımı saldırısına maruz kaldığını duyurdu. Şirket birkaç gün sonra da ekiplerin şu anda uğranılan zararın boyutunu araştırdığını açıkladı.
“FİDYE ÖDENMEZSE 150 GB VERİ YAYINLAYACAĞIZ”
Edinilen bilgiye göre BlackCat adlı fidye yazılımı grubu Encevo’dan çalındığı iddia edilen sözleşmeler, pasaportlar, faturalar ve e-postalar da dahil olmak üzere 150 GB’lık veriyi sitesinde yayınladı ve fidye ödenmediği takdirde bunları birkaç saat içinde yayınlamakla tehdit etti.
BlackCat; BlackMatter ve REvil gibi kötü ün yapmış ve şimdilerde dağılmış olan grupların eski üyeleriyle oluşturulmuş zorlu bir fidye yazılımı aktörü olarak ortaya çıktı.
HİZMETLER KESİNTİYE UĞRAMAYACAK
Saldırı özellikle doğal gaz boru hattı operatörü Creos ve enerji tedarikçisi Enovos’u etkiledi. Encevo, siber saldırıyla ilgili yaptığı açıklamada, kullanıcılara saldırı neticesinde tedarikin kesintiye uğramayacağı garantisini verdi, ancak müşterilerin sisteme giriş bilgilerini mümkün olan en kısa sürede güncellemelerini tavsiye etti.
“Encevo Group, potansiyel olarak etkilenen her bir kişiyi kişisel olarak bilgilendirmek için gerekli tüm bilgilere şimdilik sahip değil. Bu nedenle müşterilerimizden şu an için bizimle iletişime geçmemelerini rica ediyoruz. Verdiğimiz rahatsızlıktan dolayı müşterilerimizden bir kez daha özür diliyor ve mümkün olan en kısa sürede hizmetlerimizi yeniden sağlamak için elimizden geleni yapıyoruz.”
Geçen hafta da ABD’de de bir benzin dağıtım firması siber saldırının hedefi olmuştu.
İranlı bir çelik şirketi geçtiğimiz günlerde uğradığı siber saldırı sonrası üretimi durdurmak zorunda kaldığını açıkladı.
Yaşanan saldırı, son yıllarda endüstri sanayisine yönelik artan saldırıların en büyüğü olarak adlandırılıyor.
Geçtiğimiz günlerde Huzistan Steel Company’ye yönelik gerçekleştirilen siber saldırı, şirketin tesisi kapatıp üretimi durdurmasına neden oldu. Olayın nasıl gerçekleştiğine yönelik araştırmalar devam ederken şirketin CEO’su Amin Ebrahimi, siber saldırıyı engellediklerini ve müşterileri etkileyecek yapısal hasarları önlemeyi başardıklarını ifade etti.
Siber saldırının hangi aktör tarafından gerçekleştirildiği bilinmese de “Gonjeshke Darande” adlı çete, saldırıyı üstlendiklerini açıklayıp Twitter üzerinden video ve ağ görüntüleri yayımladı. Bunun yanı sıra çete, Huzistan’ın dışında iki çelik fabrikasını daha hacklediklerini belirtti.
Söz konusu saldırının ardından Raidflow siber güvenlik şirketinin analistleri, saldırıya dair görüşlerini paylaştı.
OT VE BT FONKSİYONLARININ GÜVENLİĞİ KRİTİK
Giriş vektörünün hâlâ bilinmediğini belirten analistler, aktörlerin şirket ağına erişim elde etmek için hangi güvenlik açığından yararlandığını bilmediklerini ifade etti. Bunun yanı sıra analistler, OT (Operasyonel Teknoloji) altyapılarının birbirlerinden iyi ayrılmadığını, bağlantılı BT ortamlarından yeterince iyi korunamadığını, çeşitli sunucu ve iş istasyonlarının eski yahut güncellenmemiş sürümlerinin kullanılmasının tesis içerisinde siber aktörlere yanal hareket etmekte belirli bir konfor sağladığını düşündüklerini belirtti.
Analistler, istenen etkiyi istenilen zamanda ve yerde yaratabilmeleri için bir etki alanı uzmanına ihtiyaç duyduklarını belirtti.
AĞ GÖRÜNÜRLÜĞÜ SİBER SALDIRILARDA ÖN PLANA ÇIKIYOR
Analistlerin dikkat çektiği ve önemli bulduğu bir diğer konuysa ağ görünürlüğü. Siber saldırı aktörleri kadar siber savunma için de kritik olan bu konu, ağ bağlantıları ve bunların zafiyetlerinin bilinmesinin siber saldırı faaliyetlerinde önemli bir işlevde olduğu belirtildi.
Radiflow analistleri son olarak, çeşitli nedenlerle çeşitli aktörler tarafından dünya çapındaki kritik altyapı ve stratejik üretim tesislerine daha fazla odaklanacağını ve dolayısıyla endüstriyel ortamlar için OT ağ görünürlüğü, izinsiz giriş tespiti gibi çeşitli siber güvenlik araçlarının doğru şekilde uygulanmasının hayati bir öneme sahip olduğunu belirtti.
İki Hollandalı araştırmacı, dünyanın elektrik şebekelerini, gaz boru hatlarını ve daha fazlasını çalıştıran yazılımı hackleyerek çok önemli bir başarıya imza attı. İkili, eylemlerinin şimdiye kadar gerçekleştirdikleri en kolay siber saldırı olduğunu belirtiyorlar.
İki Hollandalıdan biri 2012’de yepyeni bir iPhone’u hackleyerek dünyanın en büyük hack yarışması olan Pwn2own’da 30 bin dolar kazanmıştı. Daan Keuper ve meslektaşı Thijs Alkemade daha sonra 2018’de bir otomobili hacklemişti.
İkili geçen yıl ayrıca video konferans yazılımlarını ve koronavirüs uygulamalarını hacklerken şimdi de dünyanın kritik altyapısını yönetmeye yardımcı olan yazılımı hedefleyerek yeni bir Pwn2Own şampiyonası kupasını ve 40 bin doları evlerine götürdü.
Keuper, “Endüstriyel kontrol sistemlerinde hala çok fazla kolay lokma var.” derken Alkemade, “Bu kesinlikle çalışması daha kolay bir ortam.” ifadesini kullandı.
Miami’de ödül töreni gerçekleştiği sırada ABD ve müttefikleri, Rus hackerların elektrik şebekesi, nükleer reaktörler, su sistemleri gibi altyapıyı hedeflemekte oldukları konusunda uyarıda bulundu. Geçen hafta, bir grup Rus hacker Ukrayna elektrik şebekesini çökertmeye çalışırken yakalandı ve kritik endüstriyel sistemleri bozmayı amaçlayan başka bir bilgisayar korsanı grubu daha yakalandı.
HACKERLARIN HEDEFİNDE ENDÜSTRİYEL KONTROL SİSTEMLERİ VAR
Pwn2own’da bahisler biraz daha düşük, ancak sistemler gerçek dünyadaki ile aynı. Miami’de hedeflerin hepsi kritik tesisleri işleten endüstriyel kontrol sistemleriydi. Hedef olarak sunulan hemen hemen her yazılım parçası hackerların elinden geçti. Sonuçta, sponsorların ödediği şey de tam olarak bu. Zira başarılı olan hackerlar kusurun giderilebilmesi için tüm ayrıntıları paylaşıyor. Ancak bu aynı zamanda kritik altyapı güvenliği için daha kırk fırın ekmek yenmesi gerektiğinin de bir işareti.
Bu yıl ödül törenini gerçekleştiren Dustin Childs, “Endüstriyel kontrol sistemleri dünyasında gördüğümüz hataların (bug) çoğu, 10-15 yıl önce kurumsal yazılım dünyasında gördüğümüz hatalara benziyor.” diyor ve ekliyor: “Hala yapılması gereken çok iş var.”
Bu yılki yarışmada göze çarpan hedeflerden biri de hackerların kritik hedefleri yıkmak için girebilecekleri bir insan-makine arayüzü aracı olan Iconics Genesis64 oldu. Bunun gerçek anlamda bir tehdit olduğu herkesin malumu. Zira on yıl önce, Stuxnet olarak bilinen bir saldırı İran nükleer programını hedef almıştı. ABD ve İsrail için çalıştığına inanılan hackerlar, nükleer malzemeleri ayırmak için kullanılan gaz santrifüjlerinin içindeki programlanabilir mantık denetleyicilerini sabote etmişler, aynı zamanda cihazlara İranlı operatörlere her şeyin yolunda gittiğini söylemeleri talimatını vermişlerdi.
GÜVENLİK DENETİMLERİNİ BAŞARIYLA ATLATTILAR
Miami’de, Iconics Genesis64 saldırganlara tam kontrol sağlamak için en az altı kez saldırıya uğradı. Mücadeleyi üstlenen takımlar toplam 75 bin dolar kazandı. Yarışmada tartışmasız en çok dikkat çekenler ise OPC UA adlı bir iletişim protokolünü hedef alan Keuper ve Alkemade oldu. Şirketleri Computest adı altında rekabet eden Keuper ve Alkemade, güvenilir uygulama denetimini başarıyla atlattı.
Bu olduğunda, sahne tüm hafta süren yarışmanın en büyük alkışı ile sarsıldı ve sadece birkaç saniye içinde, takım 40 bin dolar kazandı.
OPC UA’nın endüstriyel dünyanın her yerinde sistemler arasında bir bağlayıcı olarak kullanıldığını söyleyen Keuper, “Tipik endüstriyel ağların çok merkezi bir bileşeni ve normalde herhangi bir şeyi okumak veya değiştirmek için gereken kimlik doğrulamasını atlayabiliriz. İnsanlar bunu bu yüzden çok önemli ve ilginç buldular. Bulması sadece birkaç gün sürdü.” diyor.
2012’deki iPhone’nun hacklenmesi olayı ise üç hafta sürmüştü. Buna karşılık, OPC UA hacki, Keuper ve Alkemade’i günlük işlerinden uzaklaştıran bir yan projeydi. Ancak etkisi çok büyük oldu. Nitekim bir iPhone’u hacklemenin ve kritik altyapı yazılımlarına girmenin sonuçları arasında büyük farklılıklar var. Bir iPhone kolayca güncellenebilir ve her zaman yeni bir telefon bulunabilir.
Aksine, kritik altyapıda, bazı sistemleri yenilemek onlarca yıl sürebilir. Hatta bilinen bazı güvenlik kusurları hiç düzeltilemeyebilir. Operatörler genellikle güvenlik düzeltmeleri için teknolojilerini güncelleyemezler çünkü bir sistemi çevrimdışı duruma getirmek söz konusu değil. Bir fabrikayı bir elektrik düğmesi veya bir dizüstü bilgisayar gibi tekrar açıp kapatmak kolay değil.
Keuper, “Endüstriyel kontrol sistemlerinde oyun alanı tamamen farklı. Güvenliği farklı düşünmelisin. Farklı çözümlere ihtiyacınız var. Oyun değiştiricilere ihtiyacımız var.” diyor
Alkemade ise şu değerlendirmelerde bulunuyor: “Dünyayı biraz daha güvenli hale getirmek adına kamu yararı için araştırma yapıyorum.” diyor ve ekliyor: “İnsanların bizi dinlemesi için çok dikkat çeken şeyler yapıyoruz. Bu para ile ilgili bir mesele değil. Bu heyecanla ve neler yapabileceğimizi göstermekle ilgili bir şey.”
Bu arada, Pwn2Own yarışmaları kapsamında geçen yıl 2 milyon dolar verildi. Gelecek ay, hackerlar gösterinin 15. yıldönümünü kutlamak için Vancouver’da toplanacaklar.
