Siber saldırganların gözü sanayinin altyapısında
Son zamanlarda artış gösteren ve endüstriyel şirketleri hedef alan bir dizi oltalama ve ödeme engelleme saldırısının arkasındaki kişilerin, kurbanlarının proje ve operasyonel planlarının yanı sıra elektrik ve bilişim ağlarının şemalarını da çaldıkları ortaya çıktı.
Sıklıkla Nijerya kaynaklı görünen ve elektronik ortamdaki iş yazışmalarını hedefleyen BEC (Business Email Compromise) saldırıları, finansal işlemleri durdurmak veya yeniden yönlendirmek amacıyla şirketlerin ilgili hesaplarını ele geçiriyor.
Ekim 2016’da Kaspersky Lab araştırmacıları endüstriyel müşterilerini hedefleyen zararlı yazılım saldırılarında gözle görülür bir artış fark etti. 50 ülkede 500’ün üzerinde şirkete saldırıldığını ve yoğun olarak sanayi şirketleri ile büyük taşımacılık ve lojistik şirketlerinin hedeflendiğini tespit ettiler. Saldırılar o zamandan bu yana devam ediyor.
Saldırıların perde arkası
Saldırılar, dikkatli bir şekilde hazırlanan ve tedarikçilerden, müşterilerden, ticari kuruluşlardan veya kargo şirketlerinden gelmiş gibi görünen bir oltalama e-postası ile başlıyor. Saldırganlar en az sekiz farklı casus Truva atı ve arka kapı ailesine ait zararlı yazılımları kullanıyor ve yazılımların hepsi kara borsada ucuza bulunabiliyor. Ana amaçları gizli bilgileri çalmak ve saldırıya uğrayan sistemlere uzaktan yönetim araçları yüklemek.
Saldırganlar, yazılımlarını bulaştırdıkları kurumsal bilgisayarlara girip yazışmaların ekran görüntülerini alıyor veya mesajları kendi posta kutularına yönlendiriyor ve böylece ilginç veya maddi kazanç getirebilecek para transferi işlemlerini gözlemleyebiliyor. Ardından, asıl satıcının hesap bilgilerinin yerine saldırganın hesap bilgilerinin konulmasıyla klasik bir orta adam saldırısı gerçekleştirilerek ödeme engellenip çalınıyor. Genellikle kurban yapılan dolandırıcılığı anlayana kadar para çoktan aktarılmış oluyor.
Bilinmeyen tehdit
Araştırmacılar, 2017’de gerçekleştirilen en güncel saldırılarda kullanılan komuta ve kontrol sunucularının analizlerini yaparken, operasyon ve proje planlarının yanı sıra teknik çizimlerin ve ağ şemalarının ekran görüntülerinin de çalınan veriler arasında olduğunu gördü. Dahası, bu görüntüler proje yöneticileri ya da satın alma müdürlerinin bilgisayarları gibi alışılagelmiş hedeflerden değil, operatörlerin, mühendislerin, tasarımcıların ve mimarların bilgisayarlarından alınmıştı.
Kapsersky Lab Kritik Altyapı Tehdit Analizi bölümünden Kıdemli Güvenlik Araştırmacısı Maria Garnaeva, “Saldırganların e-dolandırıcılık için bu tür bilgileri toplamalarına gerek yok. O zaman bunlarla ne yapıyorlar? Kasten mi yapıyorlar veya işin arkasında bir üçüncü taraf mı var bilmiyoruz. Şimdiye kadar Nijeryalı siber suçlular tarafından çalınan bilgilerin hiçbirine kara borsada rastlamadık. Ancak öyle görünüyor ki, saldırıya uğrayan şirketler için Nijeryalı oltalama saldırıları doğrudan mali kayıplara ek olarak başka, büyük olasılıkla daha ciddi tehditler de oluşturuyor.”
Saldırganların bir sonraki adımı, endüstriyel bir kontrol sistemine dahil olan bilgisayarlara erişim elde etmek olabilir. Bu bilgisayarlarda yapılacak bir işlemin engellenmesi veya ayarların değiştirilmesi yıkıcı sonuçlar doğurabilir.
Saldırgan profili
Araştırmacılar zararlı dosyaları inceleyerek ilgili komuta ve kontrol adreslerini elde ettiğinde, bazı durumlarda farklı ailelere ait zararlı yazılımlar için aynı sunucuların kullanıldığı ortaya çıktı. Bu da demek oluyor ki, saldırıların arkasında ya farklı zararlı yazılımları kullanan tek bir siber suçlu grubu, ya da işbirliği yapan ve kaynaklarını paylaşan birkaç grup var.
Araştırmacılar ayrıca çoğu alan adının Nijerya’da yaşayan kişilerin adına kayıtlı olduğunu ortaya çıkardı.
Bu tehdide karşı ne yapılabilir?
Kaspersky Lab şirketlere aşağıdaki temel güvenlik önlemlerini almalarını tavsiye ediyor:
- Çalışanları e-posta güvenliği konusunda bilgilendirin: Şüpheli bağlantı ve eklere tıklamamaları gerektiği ve e-postanın kaynağını dikkatlice kontrol etmeleri konusunda eğitin – onları siber suçlular tarafından kullanılan en son araçlar ve taktikler konusunda sürekli bilgilendirin.
- Ödeme işlemleri sırasında gelen, banka hesap detaylarını ya da ödeme metodu gibi bilgilerin değiştirilmesiyle ilgili talepleri daima iki kere kontrol edin.
- Bir sisteme sızılması halinde, o sistem üzerinde kullanılan tüm hesapların şifrelerini değiştirin.
- Eğer mensubu olduğunuz kurum endüstriyel bir kontrol sistemine sahipse, tüm ağ hareketlerini ve daha fazlasını izleyip analiz edecek bir güvenlik çözümü kullanın.
Bu tehdit ve ondan nasıl korunulacağı hakkında daha fazla bilgi için Securelist.com’daki raporu okuyabilirsiniz.
Endüstriyel kontrol sistemlerinin karşı karşıya olduğu tehditler hakkında ayrıntılı bilgilere ICS CERT’den ulaşabilirsiniz.