Ukrayna’daki enerji nakil hatları şebekesine 2016 yılında düzenlenen siber saldırı üç yıldır kafa karıştırmaya devam ediyordu. 2016 yılında yılbaşından iki gün önce Rus hackerlar Ukrayna’nın ulusal şebeke operatörü Ukrenergo’nun ağına daha önce görülmemiş bir zararlı yazılım türü yerleştirdiler. Hackerlar bu yazılımı gece yarısından hemen önce Kiev’in kuzeyindeki bir aktarım istasyonunda bulunan devre kesici anahtarları açmak için kullandılar. Neticede, Rusya’nın batıdaki komşularına yönelik yıllardır devam eden siber savaşındaki etkileri itibariyle en geniş çaplı saldırı gerçekleşmiş oldu.
Ancak bir saat sonra, Ukrenergo operatörleri elektrik akımını yeniden sağlamayı başardılar. Geride akıllarda şu soru kaldı: Rus hackerlar neden sofistike bir siber silah yaratıp bunu sadece bir saatlik bir elektrik kesintisi tetiklemek için ülkenin güç şebekesinin kalbine yerleştirdi?
AMAÇ FİZİKSEL DONANIMLARI YOK ETMEK Mİ?
Ortaya atılan yeni bir teori bu sorunun cevabı olma potansiyelini barındırıyor: Siber güvenlik şirketi Dragos’taki araştırmacılar, Ukrenergo’nun sistemlerinden alınan zararlı yazılım kodunun ve ağ kayıtlarının bir kez daha incelenmesine dayanarak 2016 saldırısını yeniden masaya yatırdı. Araştırmacılar, hackerların aslında sadece şebekenin kısa süreli bozulmasına neden olmakla kalmayıp, haftalarca hatta aylarca sürecek elektrik kesintilerine neden olabilecek kalıcı zarar verme amacında olduklarını ileri sürüyorlar. Bu ayrıma göre karartma amaçlı görünen zararlı yazılım, fiziksel donanımları bozmakla kalmayıp, onu yok etmeyi amaçlayan bir şeye dönüşüyor.
Dragos analisti Joe Slowik’e göre “Saldırı doğrudan kesintiye sebep olan bir olay ile sonuçlanmış olsa da kullanılan araçlar ve bunların kullanım sırası, açık bir şekilde saldırganların amacının birkaç saatliğine ışıkları kapatmaktan çok daha fazlası olduğuna işaret ediyor” Slowik, saldırganların hedefteki aktarım istasyonuna zarar verecek koşullar yaratmaya çalıştıklarını düşünüyor.
‘KORUMA RÖLESİNİ DEVRE DIŞI BIRAKARAK KALICI ZARAR VERMEK İSTEDİLER’
‘Industroyer’ ya da ‘Crash Override’ olarak da bilinen Ukrayna’yı hedef alan zararlı yazılım, Slovak siber güvenlik şirketi ESET tarafından açığa çıkarılmasıyla birlikte siber güvenlik topluluğunun dikkatini çekmişti. Yazılım, çeşitli enerji tesislerinde devre kesicileri açmak ve elektrik kesintilerini tetiklemek için kullanılan dört farklı protokolde otomatik, hızlı komutlar gönderebilen özellikler de dahil olmak üzere, elektrik tesisi ekipmanı ile doğrudan etkileşimde bulunma özelliğine sahipti.
Ancak Dragos’un ortaya koyduğu yeni bulgular, daha ziyade ESET’in orijinal analizinde tarif edilen ancak o zaman tam olarak anlaşılmayan, zararlı yazılımın unutulmuş bir bileşeni ile ilgili. ESET’in işaret ettiği üzere, zararlı yazılımın bu gizli bileşeni, Siprotec koruma rölesi olarak bilinen bir Siemens ekipmanındaki bilinen bir güvenlik açığından yararlanmak üzere tasarlanmış. Koruma röleleri elektrik motorlarını şebekeden gelecek olumsuzluklara karşı korumak amacıyla kullanılan bir tür ekipman.
Siemens koruma rölelerindeki güvenlik açığı, söz konusu cihaza tek bir veri paketi gönderebilecek olan hackerların, cihazı ürün yazılımı güncellemeleri için amaçlanan bir uyku moduna alıp, manuel olarak yeniden başlatılana kadar cihazı işe yaramaz hale getirebileceği anlamına geliyordu. 2017 yılında ESET, bu zararlı yazılım bileşeninin rahatsız edici etkilerini fark etmiş; Industroyer’in yaratıcılarının fiziksel hasar verme niyetiyle hareket etmiş olabileceklerini ima etmişti. Ancak Siprotec hackleme özelliğinin aslında daha uzun süreli hasara neden olabileceği konusu o sıralar açıklık kazanmamıştı. Ne de olsa, hackerlar sadece Ukrenergo’daki gücü kapatmışlar, koruma rölesini devre dışı bırakmanın yol açabileceği bir tür tehlikeli güç dalgalanmasına neden olmamışlardı.
AĞ KAYITLARI BİR DEVLET KURULUŞUNDAN SIZMIŞ
Dragos’un analizi ise Ukrenergo saldırısında puzzle’ın eksik kısmını tamamlayabilecek nitelikte. Ukrayna’daki tesislerin ağ kayıtlarını ismini vermeyi reddettikleri bir devlet kuruluşundan aldıklarını söyleyen şirket, ilk defa hackerların gerçekleştirdiği operasyonun meydana gelme koronolojisini ortaya koydular. Buna göre ilk olarak saldırganlar iletim istasyonundaki her bir devre kesiciyi açarak elektrik kesintisini tetikledi. Bir saat sonra, iletim istasyonunun bilgisayarlarını devre dışı bırakarak, tesis personelinin istasyonun dijital sistemlerinden herhangi birini görüntülemesini önleyen bir silme bileşenini devreye soktular. Saldırganlar ancak o zaman, arıza emniyet cihazını sessizce devre dışı bırakmak amacıyla zararlı yazılımın Siprotec hackleme özelliğini, tesis operatörlerinin zafiyeti tespit etmelerine meydan vermeden, istasyonun dört koruma rölesine karşı kullanabildi.
Dragos analistlerine göre amaç, Ukrenergo mühendislerinin istasyonun donanımına manuel olarak aceleyle yeniden enerji vererek kesintiye yanıt vermelerini sağlamaktı. Bunu arızaya karşı koruma rölesi olmaksızın manuel olarak yapmak, bir trafo veya elektrik hattında tehlikeli bir aşırı akım yüklenmesini tetikleyebilirdi. Felakete yol açma potansiyeli barındıran hasar, tesisin elektrik iletiminde birkaç saatten çok daha uzun süre aksamalara yol açabilirdi. Aynı zamanda tesis çalışanlarına da zarar verebilirdi.
Neticede plan başarısız oldu. Dragos başarısız olma nedenini tam olarak açıklayamasa da bunu muhtemelen hackerların yaptığı bir ağ yapılandırma hatasına bağlıyor. Ukrenergo’nun koruma röleleri için tasarlanan zararlı veri paketleri yanlış IP adreslerine gönderilmiş olabilir. Ya da Ukrenergo operatörleri elektriği hackerların beklediğinden daha hızlı bir şekilde açmış ve koruma röle sabotajını atlatmış da olabilir. Siprotec saldırıları kendilerine isabet etse bile, istasyondaki yedek koruyucu röleler felaketi önleyebilirdi – Dragos’un analistleri, Ukrenergo’nun güvenlik sistemlerinin tam bir resmi olmadan, potansiyel sonuçları tamamen çözemediklerini söylüyor. Siprotec saldırısı hedefi tutturmuş olsaydı bile, istasyondaki yedek koruma röleleri felaketi önleyebilirdi. Dragos analistleri Ukrenergo’nun güvenlik sistemlerine dair tam bir görüntü olmadan olası sonuçları bütünüyle ortaya koymanın mümkün olmadığını belirtiyorlar.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
