Kaspersky, endüstri şirketlerini hedef alan siber saldırı

Kaspersky Güvenlik Uzmanı Vyacheslav Kopeytsev: “Kurbanların arasında endüstriyel kuruluşların tedarikçilerinin olması endişe verici”

Kaspersky araştırmacıları, 2020’nin ilk döneminde birçok bölgede endüstriyel kuruluşları hedef alan siber saldırılar tespit etti.

Kaspersky açıklamasına göre, Kaspersky ICS CERT’in bulgularına göre endüstriyel kuruluşlara yönelik saldırılar en çok Japonya, İtalya, Almanya ve İngiltere’deki sistemleri hedef aldı.

Hedefler arasında endüstri şirketlerinin ekipman ve yazılım tedarikçileri yer aldı.

Yapılan araştırmalara göre, saldırganların kötü amaçlı Microsoft Office belgelerinden ve PowerShell kodlarından yararlanıyor.

Ayrıca saldırganlar, zararlı yazılımlarının tespit edilip incelenmesini zorlaştıran yöntemler de kullanıyor.

Bu yöntemler arasında, ortada herhangi bir veri olduğunu bile gizleyebilen steganografi tekniği de bulunuyor.

Endüstriyel kuruluşları hedef alan saldırılar, karmaşık yapıları ve kritik önem taşıyan şirketlere odaklanmaları nedeniyle siber güvenlik sektörünün dikkatini her zaman üzerinde topluyor.

Bu tür şirketlerin operasyonlarındaki herhangi bir kesinti, endüstriyel casusluktan büyük finansal kayıplara kadar istenmeyen sonuçlar doğurabiliyor.

İnceleme altına alınan son saldırılar da bundan farklı değildi. İlk saldırı vektörü olarak kullanılan kimlik avı e-postalarının, kurbanların kendi dillerinde özel olarak hazırlandığı belirlendi.

Saldırıda kullanılan zararlı yazılım, ancak işletim sisteminin diliyle kimlik avı e-postasının dili aynıysa harekete geçiyordu.

Örneğin Japonya’daki bir şirkete düzenlenen saldırıda, kimlik avı e-postasındaki metin ve zararlı bir makro içeren Microsoft Office belgesi Japonca yazılmıştı.

Ayrıca, zararlı yazılım modülünün açılması için işletim sisteminin de Japonca olması gerekiyordu.

Yapılan analizlerde, saldırganların ele geçirilen bir sistemde saklı Windows hesaplarına ait kimlik doğrulama verilerini çalmak için Mimikatz aracından yararlandıkları tespit edildi.

Saldırganlar topladıkları bu verilerle kurumsal ağdaki diğer sistemlere erişip saldırıyı geliştirebiliyorlardı. Saldırganlar yönetici yetkilerine sahip hesaplara eriştiğinde ise çok daha tehlikeli durumlar yaşanabiliyordu.

Kaspersky güvenlik çözümleri, tespit edilen tüm vakalarda zararlı yazılımı engellemeyi başararak saldırganların faaliyetlerine son verdi.

Bu nedenle, saldırganların asıl amacı henüz bilinmiyor. Kaspersky ICS CERT uzmanları yeni benzer vakaları izlemeye devam ediyor.

“Sunucuların koruma altına alınması kritik önem taşıyor”

Açıklamada görüşlerine yer verilen Kaspersky Güvenlik Uzmanı Vyacheslav Kopeytsev, bu saldırının, saldırganların standart olmayan teknik yöntemler kullanmaları nedeniyle dikkat çektiğini belirterek, şunları kaydetti:

Örneğin, görsel dosyasının içine kodlanan zararlı yazılım modülü steganografi yöntemiyle gizleniyordu ve görselin kendisi de yasal web kaynaklarında yer alıyordu. Tüm bunlar bu zararlı yazılımı, ağ trafiğini izleyen ve denetleyen araçlarla tespit etmeyi neredeyse imkansız hale getiriyordu. Teknik açıdan bakıldığında bu faaliyetin, yasal görsel kaynaklarına verilen erişimden hiçbir farkı yok. Saldırıların hedefli olması da kullanılan yöntemlerin karmaşık yapısını gözler önüne seriyor.

Kurbanların arasında endüstriyel kuruluşların tedarikçilerinin olması endişe verici. Tedarikçi şirketlerin çalışanlarına ait kimlik doğrulama verileri kötü niyetli kişilerin eline geçerse başta gizli verilerin çalınması ve kullanılan uzaktan yönetim araçları üzerinden endüstri şirketlerine saldırı düzenlenmesi olmak üzere birçok olumsuz sonuç doğabilir.”

Kaspersky Endüstriyel Siber Güvenlik Çözümleri Müdürü Anton Shipulin de kurumsal ve operasyonel teknoloji ağlarındaki iş istasyonlarının ve sunucuların koruma altına alınmasının kritik önem taşıdığını aktararak, şu ifadeleri kullandı:

“Bu vakadakine benzer saldırıları önlemek için güçlü uç nokta güvenliği yeterli olsa da biz endüstriyel tesislerin siber güvenliğinde en kapsamlı yaklaşımın uygulanmasını tavsiye ediyoruz. Tedarikçiler üzerinden yöneltilen saldırılar, OT ağı da dahil olmak üzere kurumsal ağlara çok farklı noktalardan giriş yapabiliyor.

Son saldırıların amacı henüz belli olmasa da saldırganların tesislerdeki kritik sistemlere erişme potansiyeline sahip olduğunu kabul edebiliriz. Modern ağ takibi, anormal durum ve saldırı tespiti yöntemleri endüstriyel kontrol sistemlerine ve ekipmanlarına yönelik saldırıların belirtilerini yakalamaya yardımcı olarak olası vakaları önleyebilir.”

(aa)