Enerji Piyasası Düzenleme Kurumu(EPDK) , kritik altyapılar arasında ön plana çıkan enerji sektörünün siber güvenliği için kritik bir yönetmelikle “Siber Güvenlik Yetkinlik Modeli” getirdi.
Enerji sektöründe kullanılan endüstriyel kontrol sistemlerinin siber güvenliğini iyileştirme ve bu kontrol sistemlerinin siber dayanıklılığına, yeterliliğine ve olgunluğuna ilişkin esaslar belirlendi.
EPDK Enerji Sektöründe Siber Güvenlik Yetkinlik Modeli Yönetmeliği, Resmi Gazete’de yayımlanarak yürürlüğe girdi. Yönetmeliğe göre, enerji sektöründe kullanılan endüstriyel kontrol sistemlerinin siber güvenliğini sürekli olarak gelişen ihtiyaç ve tehditlere göre iyileştirmeye, asgari kabul edilebilir güvenlik seviyesini tanımlamaya ve bu kontrol sistemlerinin siber dayanıklılığına, yeterliliğine ve olgunluğuna ilişkin usul ve esaslar belirlendi.
100 MEGAVAT VE ÜZERİ LİSANSA SAHİP TESİSLERİ KAPSIYOR
Yönetmelik, elektrik iletim ve dağıtım lisansı sahibi, geçici kabulü yapılmış ve işletmedeki kurulu gücü 100 megavat elektrik ve üzeri lisansa sahip her bir elektrik üretim tesisi, boru hattıyla iletim yapan doğal gaz iletim lisansı, sevkiyat kontrol merkezi kurmakla yükümlü doğal gaz dağıtım lisansı, depolama lisansı (LNG, yer altı), ham petrol iletim lisansı ve rafinerici lisansı sahibi tüzel kişilerden oluşan kuruluşların endüstriyel kontrol sistemlerinin güvenliğine ilişkin uygulanacak hükümleri kapsayacak.
Organize Sanayi Bölgesi dağıtım ve üretim lisansı sahipleri ise kapsam dışında tutulacak. Yetkinlik modeli kapsamında üç temel yetkinlik seviyesi belirlenirken, yükümlü kuruluşların sahip olmaları gereken yetkinlik seviyesi, EPDK tarafından belirlenen sektörel kritiklik dereceleriyle tespit edilecek.
EPDK KRİTİKLİK DERECELERİNİ BELİRLEYECEK
Kurum tarafından yapılacak güncellemelerle 3 yıllık periyotlarda kontrol maddeleri ve kontrol maddeleri için tespit edilen yetkinlik seviyeleri değiştirilebilecek. “Yetkinlik modeli” uygulama yükümlülüğü, Kurum tarafından kritiklik dereceleri belirlenip yükümlü kuruluşlara tebliğ edildiğinde başlayacak.
Yönetmelik kapsamında denetim yapma yetkisi verilen firmaların unvanları, Kurumun internet sitesinde yayımlanacak. Öte yandan, Enerji Sektöründe Kullanılan Endüstriyel Kontrol Sistemlerinde Bilişim Güvenliği Yönetmeliği yürürlükten kaldırıldı.
Türkiye’deki enerji ve üretim sektöründe faaliyet gösteren firma ve kurumlara yönelik siber saldırıların arttığı belirlendi.
Kaspersky ICS araştırmacılarının raporuna göre, Orta Doğu Bölgesi diğer bölgeler ile karşılaştırıldığında, fidye yazılımı saldırılarının öncelikli hedefi olmaya devam ediyor.
Türkiye, 2022 yılı boyunca bina otomasyonu, enerji ve mühendislik dahil olmak üzere birçok sektörde engellenen saldırılarda artışların izlendiği ülkeler arasında yer alıyor.
Kaspersky ICS araştırmacılarına göre, 2022’nin ikinci yarısında Kaspersky güvenlik çözümleri, endüstriyel otomasyon sistemlerinde yılın ilk yarısına göre %6, 2021’in ikinci yarısına göre ise %147 kötü amaçlı yazılımları engelledi. Orta Doğu bölgesi, çıkarılabilir medya (USB flash sürücüler veya sabit sürücüler) aracılığıyla saldırıya uğrayan endüstriyel kontrol sistemlerinin (ICS) oranı konusunda ilk üçte yer alıyor. Afrika ise çıkarılabilir aygıtlar kullanılarak hedef alınan ICS bilgisayarı sayısını göz önüne alındığında bölgesel sıralamada üst sıralarda yer almaya devam ediyor. Türkiye de 2022 yılı boyunca bina otomasyonu, enerji ve mühendislik dahil olmak üzere birçok sektörde engellenen saldırılarda artışların izlendiği ülkeler arasında yerini alıyor.
FİDYE YAZILIM SALDIRILARI TÜRKİYE İÇİN BÜYÜK TEHDİT
Diğer bölgeler ile kıyaslandığında Türkiye’de 2022’nin ikinci yarısında casus yazılımların engellendiği ICS bilgisayarlarının oranı %12,4 ile yüksek oranda gerçekleşti. Türkiye’deki ICS’lerde engellenen diğer kötü amaçlı yazılım kategorilerine bakıldığında, kötü amaçlı komut dosyaları ve reddedilen internet kaynakları %19,7 ve %13,0 oranlarıyla listenin başında yer alıyor.
Kötü amaçlı komut dosyaları ve kimlik avı sayfaları (JavaScript ve HTML) hem çevrimiçi hem de e-posta yoluyla dağıtılıyor. Engellenen internet kaynaklarının önemli bir kısmı kötü amaçlı komut dosyaları göndermek ve kimlik avı sayfalarına yönlendirmek için kullanılıyor.
Türkiye’deki ICS bilgisayarlarında engellenen diğer nesne kategorileri arasında kötü amaçlı belgeler (%6,6) ve solucanlar da (%4,7) oranında yer alıyor. Türkiye aynı zamanda, fidye yazılımı saldırılarından en çok etkilenen bölge olmaya da devam ediyor.
Engellenen saldırı sayısı ile ilgili durum farklı sektörler arasında değişiklik gösteriyor. Türkiye’de 2022’nin ikinci yarısında bina otomasyonu (%41,9 saldırı, 2022’nin ilk yarısına kıyasla +2,1 p.), enerji (%43,2, +1,8 p.), mühendislik (%43,5, +3,6) ve üretim (%36,8, +1,4 p.) dahil olmak üzere çeşitli sektörlerdeki saldırılarda artış gözleniyor.
Geçtiğimiz yıl siber güvenlik ekipleri en çok hangi siber tehditlere karşı test yaptı? Test sayıları açısından 2022’nin en endişe verici tehditlerine göz atmak, siber güvenlik ekiplerini belirli tehditlere karşı ne kadar savunmasız olduklarını kontrol etmeye neyin yönelttiğine dair bir bakış açısı sunuyor.
En endişe verici beş tehdidinden dördünün doğrudan devlet bağlantılı olduğu göz önüne alındığında, siber güvenlik ekipleri için en yakıcı tehdit endişelerinin temelinde jeopolitik gerilimler olduğu ortaya çıkıyor.
İşte 1 Ocak- 1 Aralık 2022 tarihleri arasında İsrailli siber güvenlik firması Cymulate ile dayanıklılığı doğrulamak için en çok test edilen tehditler:
MANJUSAKA’DA ÇİN BAŞ ŞÜPHELİ
Cobalt Strike ve Sliver framework (her ikisi de ticari olarak üretilmiş ve iyi niyetli hackerlar için tasarlanmış ancak tehdit aktörleri tarafından kötüye kullanılmış) kötü niyetli aktörler tarafından yaygın olarak kullanılma potansiyeline sahip yazılımlar. Rust ve Golang dillerinde yazılmış olan ve kullanıcı ara yüzü Basit Çince olan bu yazılım Çin menşelidir.
Manjusaka, Rust’ta Windows ve Linux implantları taşıyor ve özel implantlar oluşturma imkanı ile birlikte hazır bir C2 sunucusunu ücretsiz olarak kullanıma sunuyor.
Manjusaka en başından beri suç amaçlı kullanım için tasarlandı. Ücretsiz dağıtıldığı ve Cobalt Strike, Sliver, Ninja, Bruce Ratel C4 gibi ticari olarak mevcut simülasyon ve emülasyon çerçevelerinin kötüye kullanımına olan bağımlılığı azaltacağı için 2023’te suç amaçlı kullanımı artabilir. Manjusaka’nın geliştiricilerinin devlet destekli olduğuna dair herhangi bir kanıt olmasa da Çin yine baş şüpheli durumda.
POWERLESS ARKA KAPI
Powerless Backdoor, PowerShell denetleyicisinden kaçınmak için tasarlanmış bir arka kapı tehdidi. Geçtiğimiz yıl özellikle İran ile bağlantılı tehditler arasında en popüleri olarak dikkat çekti. Yetenekleri arasında tarayıcı için bilgi hırsızlığı ve keylogger indirmek, verileri şifrelemek ve şifresini çözmek, rastgele komutlar çalıştırmak ve bir süreç sonlandırma işlemini (kill process) etkinleştirmek yer alıyor.
İran’a atfedilen anlık tehditlerin sayısı 8’den 17’ye yükselmiş. Ancak, 14 Eylül’de ABD Hazine Bakanlığı Yabancı Varlıkların Kontrolü Ofisi’nin (OFAC) İranlı siber aktörlere yönelik getirdiği yaptırımlardan bu yana Tahran’a atfedilen tek bir saldırıya kadar düşerek önemli ölçüde yavaşladı.
Ülkedeki mevcut siyasi gerilimlerin 2023’teki saldırıların sıklığını etkileyeceği düşünülüyor. Ancak bu aşamada bunların artıp azalmayacağını değerlendirmek zor.
ABD EYALETLERİNİ HEDEF ALAN APT 41
Halihazırda 2021’de çok aktif olarak işaretlenmiş olan APT41, 2022’de yavaşlama belirtisi göstermedi. Çin destekli bir saldırgan grup faaliyeti olarak bilinen APT41’e yönelik araştırmalar, ABD eyalet hükümetlerini hedef alan kasıtlı bir kampanyanın kanıtlarını ortaya koyuyor.
APT 41 Acunetix, Nmap, SQLmap, OneForAll, subdomain3, subDomainsBrute ve Sublist3r gibi keşif araçları kullanıyor. Ayrıca kimlik avı, watering hole ve tedarik zinciri saldırıları gibi çok çeşitli saldırı türleri başlatıyor ve kurbanlarını başlangıçta tehlikeye atmak için çeşitli güvenlik açıklarından yararlanıyor. Son zamanlarda, web sitelerinde SQL enjeksiyonları gerçekleştirmek için ilk saldırı vektörü olarak halka açık SQLmap aracını kullandıkları görülmüştür.
Geçtiğimiz yıl kasım ayında, APT 41 (ARIUM, Winnti, LEAD, WICKED SPIDER, WICKED PANDA, Blackfly, Suckfly, Winnti Umbrella, Double Dragon) ile ilişkili halihazırda uzun olan takma isimler listesine Earth Longhi adlı yeni bir alt grup katıldı. Earth Longhi’nin Tayvan, Çin, Tayland, Malezya, Endonezya, Pakistan ve Ukrayna’da birden fazla sektörü hedef aldığı tespit edildi.
2022 tarihli Microsoft Dijital Savunma Raporu’na göre, “Çin kaynaklı saldırıların çoğu, daha önce güvenlik topluluğu tarafından bilinmeyen ve “yazılımdaki kendine özgü yamalanmamış açıklar” olan “sıfırıncı gün açıklarını” bulma ve bunları toplama yeteneğinden güç alıyor. Çin’in bu güvenlik açıklarını toplaması, Çin’deki kuruluşların keşfettikleri güvenlik açıklarını başkalarıyla paylaşmadan önce hükümete bildirmelerini gerektiren yeni bir yasanın hemen ardından artmış görünüyor.”
SAVUNMA SEKTÖRÜNE LOLZARUS KİMLİK AVI SALDIRISI
LolZarus olarak adlandırılan bir kimlik avı saldırıları kapsamında, ABD’deki savunma sektörüne iş başvurusu yapanlar hedef alınıyor. Söz konusu saldırılar ilk olarak Qualys Threat Research tarafından tespit edilmiş ve Kuzey Koreli tehdit aktörü Lazarus’a (AKA Dark Seoul, Labyrinth Chollima, Stardust Chollima, BlueNoroff ve APT 38) atfedilmiş. Kuzey Kore’nin Keşif Genel Bürosu’na bağlı olan bu grup hem siyasi hem de mali motivasyona sahip ve en çok 2016’da Sondy’ye yapılan yüksek profilli saldırı ve 2017’de WannaCry fidye yazılımı saldırısı ile tanınıyor.
LolZarus kimlik avı kampanyası, Lockheed_Martin_JobOpportunities.docx ve salary_Lockheed_Martin_job_opportunities_confidential.doc adlı en az iki kötü niyetli belgeye dayanıyor. Bu belgeler, kullanılan API’yi yeniden adlandırmak için takma adlara sahip makroları kötüye kullanıyor ve saldırı düzenlenmesini otomatik hale getirme noktasında ActiveX Frame1_Layout’a güveniyor. Makro daha sonra WMVCORE.DLL Windows Media dll dosyasını yükleyerek kontrolü ele geçirmeyi ve Komuta & Kontrol sunucusuna bağlanmayı amaçlayan ikinci aşama kabuk kodu yükünü göndermeye yardımcı oluyor.
Bu yıl CISA tarafından dile getirilen diğer iki Kuzey Kore saldırısı arasında Maui fidye yazılımı kullanımı ve kripto para hırsızlığı faaliyeti yer alıyor. Lazarus alt grubu BlueNoroff, bu yıl kripto para birimi uzmanlığının dışına çıkarak kripto para birimiyle bağlantılı SWIFT sunucularını ve bankaları da hedef almış görünüyor. Cymulate, 1 Ocak 2022’den bu yana yedi acil tehdidi Lazarus ile ilişkilendirdi.
INDUSTROYER2
Ukrayna ile Rusya arasında baş gösteren çatışma nedeniyle yüksek alarm durumu, yüksek voltajlı elektrik trafo merkezlerini hedef alan bir siber-fiziksel saldırı girişimini engellemek suretiyle etkinliğini gösterdi. Bu saldırı, 2016’da Ukrayna’daki elektrik santrallerini hedef alan ve Kiev’in bir bölümünün elektriğini yaklaşık bir saat boyunca keserek asgari düzeyde başarılı olan Industroyer siber saldırısının anısına Industroyer2 olarak adlandırıldı.
Industroyer2’nin özelleştirilmiş hedefleme düzeyi, belirli trafo merkezleri için benzersiz parametrelerden oluşan statik olarak belirlenmiş yürütülebilir dosya setlerini içeriyordu.
Ukrayna’nın siber dayanıklılığı ne yazık ki kinetik saldırılara karşı güçsüz ve Rusya artık elektrik santrallerini ve diğer sivil tesisleri yok etmek için daha geleneksel askeri yöntemleri tercih etmiş görünüyor. ENISA’ya göre Ukrayna-Rusya çatışmasının bir yan etkisi de hükümetlere, şirketlere ve genel olarak enerji, ulaşım, bankacılık ve dijital altyapı gibi temel sektörlere yönelik siber tehditlerin yeniden ortaya çıkması.
Sonuç olarak, bu yılın en endişe verici beş tehdidinden dördünün doğrudan devlet bağlantılı olduğu ve beşincisinin arkasındaki tehdit aktörlerinin bilinmediği göz önüne alındığında, siber güvenlik ekipleri için en yakıcı tehdit endişelerinin temelinde jeopolitik gerilimlerin olduğu görülüyor.
Devlet destekli saldırganlar tipik olarak çoğu şirket tarafından erişilemeyen siber kaynaklara erişebildiğinden, karmaşık saldırılara karşı önleyici savunma, güvenlik doğrulamasına ve bağlam içi güvenlik açıklarını belirlemeye ve kapatmaya odaklanan sürekli süreçlere odaklanmalıdır.
Zurich Sigorta CEO’su Mario Greco, siber saldırılara karşı veri güvenliğini sigortaların karşılayamayacağını ön gördü. Avrupa’nın önde gelenn sigorta firmasının yöneticisi Greco, siber saldırılar nedeniyle oluşan durum devam ettiği takdirde veri güvenliğinin ‘sigortalanamaz’ hale geleceğini savundu.
Financial Times’ın haberine göre siber saldırıların daha çok izlenmesi gereken bir risk olduğuna dikkat çeken Greco, “Sigortalanamaz hale gelecek olan şey siber teknolojiler olacak. Ya birisi altyapımızın hayati parçalarının kontrolünü ele geçirirse, bunun sonuçları ne olur?” dedi.
Son günlerde hastanelere ve kritik alt yapılara yönelik siber saldırılar, bilgi güvenliği risklerinin ne kadar büyük maliyetlerde zararlara neden olduğunu ortaya koydu.
Greco ayrıca “Öncelikle, bunun sadece veri olmadığı algısı olmalı. Bu medeniyetle ilgili bir mesele. Bu insanlar hayatımızı ciddi şekilde mahvedebilir” tespitinde bulundu.
Artan siber riskler sonrası bazı sigortacılar fiyatları yükseltti ve poliçelerini değiştirdi. Söz konusu değişiklikler müşterilerin de daha fazla zarara uğramasına sebep oldu.
Belirli saldırı türleri için poliçelerde belirtilen muafiyetler bulunuyor. Zurich de gıda şirketi Mondelez’e gerçekleştirilen NotPetya saldırısından kaynaklanan 100 milyon dolarlık sigorta talebini ödemeyi reddetti. Sigorta şirketi poliçenin “savaş benzeri eylemleri” dışladığı gerekçesini gösterdi.
“FİDYE ÖDEMESİ ENGELLENİRSE DAHA AZ SALDIRI OLACAK”
İngiliz finans şirketi Lloyd’s piyasadaki sigorta poliçelerinin devlet destekli saldırılar için bir muafiyete sahip olmasını talep ederek siber saldırılardan kaynaklanan sistemik riski sınırlama hareketini savundu. Üst düzey bir Lloyd’s yöneticisi, hareketin “sorumluluk” duygusu taşıdığını ve “her şey ters gittikten sonra” beklemek yerine tercih edilebilecek bir yöntem olduğunu söyledi.
Greco, siber saldırılardan kaynaklanan tüm kayıpların üstlenilmesi açısından özel sektörün karşılayabileceği şokun bir sınırı olduğunu söyledi. Tecrübeli yönetici tıpkı depremler veya terör saldırıları için uygulananlara benzer şekilde, ölçülemeyen sistemik siber riskleri ele almak için kamu-özel teşebbüsleri oluşturmaya çağırdı ve ABD’deki son dönemde yer alan tartışmalara dikkat çekti.
Greco, ABD’de geçici benzin kıtlığı yaratan Colonial Pipeline saldırısı gibi örneklerin “tek bir siber olayın kritik altyapıda felaket sonuçlara yol açma olasılığını” gösterdiğini söyledi. Greco ayrıca ABD hükümetinin fidye ödemelerini caydırma adımlarını da anlamlı bularak şu değerlendirmede bulundu: “Fidyelerin ödenmesini engellerseniz, daha az saldırı olacaktır.”
Genellikle kötü haberlerin yoğunlukta olduğu siber güvenlik dünyasında bir iyi haber Unit 221B araştırmacılarından geldi. Uzmanlar, Zeppelin fidye yazılım kurbanları için yeni şifre çözücü buldu.
Siber güvenlik firması Unit 221B araştırmacıları, 2020’den bu yana Zeppelin fidye yazılımının kurbanlarına, bilgisayar sistemlerinin şifresini çözmelerine gizlice yardımcı olduklarını açıkladı.
EVSİZ BARINAKLARINA BİLE SALDIRIYORLARDI
Zeppelin fidye yazılımı, 2019’da ortaya çıkmış ve o günden bu yana çeşitli işletmeler, kritik altyapı kuruluşları, savunma yüklenicileri, eğitim kurumları, sağlık ve tıp endüstrilerini hedef almıştı.
Bunun yanı sıra fidye yazılımının hayır kurumlarını, kar amacı gütmeyen kuruluşları ve evsiz barınaklarını hedef almasıyla Unit 221B araştırmacıları, dikkatlerini bu fidye yazılımına yöneltmişti.
Kurbanlarından kimi zaman 1 milyon dolarlık fidyeler talep etmiş olsalar da Zeppelin operatörleri ortalama olarak 50.000 dolar civarı fidye istiyordu.
Son zamanlarda saldırılarında gözle görülür bir düşüş yaşanmasının ardından Unit 221B araştırmacıları, Zeppelin fidye yazılımı kurbanlarına nasıl yardım ettiklerini açıkladı.
KURBANLARA NASIL YARDIM ETTİKLERİNİ AÇIKLADILAR
Firmanın internet sitesinde paylaşılan blog yazısına göre Unit 221B araştırmacıları, Zeppelin fidye yazılımının şifreleme akışının kayıt defterine geçici olarak bir anahtar bıraktığı bir güvenlik zafiyeti içeriyordu.
Bu zafiyeti keşfeden ve daha sonra bundan faydalanan araştırmacılar, kurbanların virüs bulaşmış sistemlerde çalıştırabilecekleri bir şifre çözme aracı üretmeyi başardı. Daha sonra bu aracı çalıştıran araştırmacılar, altı saatlik çalışmadan sonra şifreleme anahtarını kırmayı başardı.
Zeppelin fidye yazılımı saldırısına uğrayan kuruluşlara bu yardımı sunan araştırmacılar, Zeppelin operatörlerinin kulağına gitmemesi ve çetenin yaklaşımını değiştirerek daha fazla kuruluşa saldırmaması amacıyla keşiflerini bugüne kadar saklamış.
Zeppelin kurbanlarının sayısında önemli bir düşüş yaşandıktan sonraysa Unit 221B, çalışmalarının ayrıntılarını açıklamayı tercih etti. Araç ücretsiz olarak sunulmaya devam ediyor ve Zeppelin’in en son sürümlerine karşı bile hâlâ çalışıyor.
