“Operasyonel Teknoloji Sistemlerine Yönelik Pro-Rus Hacktivist Saldırılarına Karşı Savunma Stratejileri” başlıklı bu blog yazısı, Cybersecurity and Infrastructure Security Agency (CISA), Federal Bureau of Investigation (FBI), National Security Agency (NSA), Environmental Protection Agency (EPA), Department of Energy (DOE) gibi kuruluşlar tarafından yayınlanan bir makaleye (https://www.ic3.gov/Media/News/2024/240501.pdf) dayanmaktadır. Bu yazıda, pro-Rus hacktivistlerin Kuzey Amerika ve Avrupa’daki operasyonel teknoloji (OT) cihazlarına yönelik saldırıları ve bu saldırılara karşı alınabilecek önlemler ele alınmaktadır. Saldırganların kullandığı teknikler, savunma stratejileri ve OT cihaz üreticilerinin sorumlulukları gibi konular detaylı bir şekilde incelenerek, okuyuculara bu tür saldırılara karşı nasıl korunabilecekleri konusunda bilgi verilmektedir.
Pro-Rus hacktivistlerin Kuzey Amerika ve Avrupa’daki operasyonel teknoloji (OT) cihazlarına yönelik saldırılarını hedeflediği ve bu saldırıların 2022’den bu yana devam ettiği ve en son Nisan 2024’te gözlemlenmiştir. Bu saldırılar genellikle ICS ekipmanlarını manipüle ederek rahatsız edici etkiler yaratmayı amaçlayan basit tekniklerle sınırlı olsa da, bu aktörlerin güvensiz ve yanlış yapılandırılmış OT ortamlarında fiziksel tehditler oluşturabilecek tekniklere sahip oldukları tespit edilmiştir.
Pro-Rus hacktivistler, modüler, internete açık endüstriyel kontrol sistemlerini (ICS) etkilemek için insan makine arayüzleri (HMI) gibi yazılım bileşenlerini ve sanal ağ erişim yazılımlarını (VNC) ve varsayılan şifreleri kullanarak hedef almaktadır. Bu saldırılar, OT operatörlerini, özellikle Su ve Atıksu Sistemleri (WWS), Barajlar, Enerji ve Gıda ve Tarım Sektörleri gibi kritik altyapı sektörlerindeki operatörleri hedef almaktadır.
Pro-Rus hacktivistler, Kuzey Amerika ve Avrupa’daki operasyonel teknoloji (OT) sistemlerine yönelik saldırılarında genellikle basit teknikler kullanmaktadırlar. Bu saldırılar genellikle ICS ekipmanlarını manipüle ederek rahatsız edici etkiler yaratmayı amaçlamaktadır. Ancak yapılan incelemeler, bu saldırganların güvensiz ve yanlış yapılandırılmış OT ortamlarında fiziksel tehditler oluşturabilecek tekniklere sahip olduklarını ortaya koymaktadır. Saldırganlar, genellikle internete açık bağlantıları ve güncellenmemiş VNC yazılımlarını sömürerek uzaktan erişim elde etmekte ve HMIs’nin fabrika varsayılan şifrelerini veya zayıf şifreleri kullanmaktadırlar.
Pro-Rus hacktivistlerin kullandığı temel teknikler arasında fabrika varsayılan şifrelerin ve zayıf şifrelerin kullanılması, güncellenmemiş yazılımların sömürülmesi ve internete açık bağlantıların hedef alınması bulunmaktadır. Bu saldırıları tespit etmek ve engellemek için ise çeşitli yöntemler kullanılabilir. Örneğin, güçlü ve benzersiz şifrelerin kullanılması, güncellemelerin düzenli olarak yapılması, erişim izinlerinin sıkı bir şekilde kontrol edilmesi ve uzaktan erişim girişimlerinin loglanması gibi önlemler alınabilir. Ayrıca, ağ trafiğinin izlenmesi ve anormalliklerin tespit edilmesi de saldırıları erken aşamada engellemek için önemli bir adımdır.
Makalede önerilen savunma stratejileri, operasyonel teknoloji sistemlerine yönelik pro-Rus hacktivist saldırılarına karşı etkili bir şekilde korunmayı amaçlamaktadır. Bu stratejiler arasında, HMIs ve OT sistemlerine uzaktan erişimi sıkı bir şekilde kontrol altına almak, güçlü şifreler ve multifaktörlü kimlik doğrulama kullanmak, güncellemeleri düzenli olarak yapmak, ve erişim izinlerini titizlikle yönetmek gibi önlemler bulunmaktadır. Ayrıca, ağ trafiğini izlemek, erişim denemelerini loglamak ve anormallikleri tespit etmek de savunma stratejilerinin önemli bir parçasıdır. Bu stratejilerin uygulanabilirliği ve etkinliği, kuruluşların güvenlik politikalarını güçlendirmesi ve çalışanlarını sürekli eğitmeleri ile artırılabilir.
Multifaktörlü kimlik doğrulama, operasyonel teknoloji sistemlerine yönelik saldırılara karşı ek bir güvenlik katmanı sağlar. Bu yöntem, kullanıcıların kimliklerini doğrulamak için birden fazla doğrulama faktörü kullanmalarını gerektirir. Örneğin, bir kullanıcının hem şifresini girmesi hem de bir doğrulama kodunu mobil cihazından alması gerekebilir. Bu sayede, sadece şifre bilen bir saldırganın sisteme erişmesi zorlaşır. Multifaktörlü kimlik doğrulama, operasyonel teknoloji sistemlerindeki hassas verilerin ve işlemlerin korunmasında önemli bir rol oynamaktadır. Bu nedenle, tüm erişim noktalarında bu yöntemin etkin bir şekilde uygulanması, saldırılara karşı daha güçlü bir savunma sağlayabilir.
Yazılım Malzeme Listeleri (SBOM), bir cihaz veya yazılımın kullanılan tüm bileşenlerini ve bunların kaynaklarını belirten bir belgedir. SBOM’lar, bir sistemdeki potansiyel güvenlik açıklarını tespit etmek ve yönetmek için önemli bir araçtır. OT cihazlarında SBOM’ların kullanılması, üreticilerin ve operatörlerin cihazlardaki güvenlik açıklarını daha iyi anlamalarını ve gidermelerini sağlar. Bu sayede, potansiyel saldırı vektörleri azaltılabilir ve sistemlerin daha güvenli hale getirilmesi sağlanabilir.
CISA, EPA, FBI gibi kuruluşlar, operasyonel teknoloji (OT) güvenliği konusunda çeşitli kaynaklar ve rehberlikler sunmaktadır. Bu kaynaklar aracılığıyla, OT operatörleri ve cihaz üreticileri, güvenlik önlemlerini artırmak ve saldırılara karşı daha dirençli hale gelmek için gerekli bilgi ve yönergeleri edinebilirler. Önerilen adımları takip ederek, kuruluşlar pro-Rus hacktivist saldırıları gibi tehditlere karşı daha iyi hazırlıklı olabilir ve etkili savunma stratejileri geliştirebilirler.
OT cihaz üreticileri, ürünlerinin güvenliğini sağlamak ve müşterilerinin güvenliğini korumakla sorumludur. Bu kapsamda, üreticilerin güvenli tasarım ilkelerine uygun ürünler geliştirmesi ve varsayılan şifreleri kaldırarak güçlü şifrelerin kullanılmasını zorunlu hale getirmesi önemlidir. Ayrıca, üreticilerin yazılım güvenliği konusunda sürekli eğitim ve bilinçlendirme sağlaması, ürünlerinde güvenlik açıklarını tespit etmek ve gidermek için sürekli olarak çalışması gerekmektedir. Bu adımlar, OT cihazlarının daha güvenli hale gelmesini sağlayarak saldırılara karşı daha etkili bir koruma sağlayabilir.
Saldırı tespit ve raporlama süreçleri, operasyonel teknoloji (OT) sistemlerinin güvenliğini sağlamak ve saldırılara karşı hızlı bir şekilde müdahale etmek için önemlidir. OT operatörleri, saldırı belirtilerini izlemeli ve tespit etmelidir. Herhangi bir şüpheli faaliyet veya saldırı durumunda, bu durum derhal ilgili kuruluşlara (örneğin CISA, FBI) raporlanmalıdır. Hızlı ve etkili bir şekilde saldırıları tespit etmek ve raporlamak, saldırıların etkilerini en aza indirgemek ve operasyonların devamlılığını sağlamak için önemlidir. Bu süreçlerin düzenli olarak test edilmesi ve güncellenmesi de önemlidir, böylece operatörler her zaman en iyi savunma stratejilerine sahip olabilirler.