CISA, NSA, FBI ve Enerji Bakanlığı (DOE) tarafından yayınlanan ortak bir siber güvenlik tavsiyesi, hükümet destekli bilgisayar korsanlığı gruplarının birden fazla endüstriyel cihazı ele geçirebileceği konusunda uyarıyor.
Federal kurumlar, tehdit aktörlerinin endüstriyel kontrol sistemi (ICS) ve denetleyici kontrol ve veri toplama (SCADA) cihazlarını taramak, güvenliğini sağlamak ve kontrolünü ele geçirmek için özel olarak oluşturulmuş modüler kötü amaçlı yazılımları kullanabileceğini söyledi.
Ortak danışma belgesi, “APT aktörlerinin araçları modüler bir mimariye sahiptir ve siber aktörlerin hedeflenen cihazlara karşı yüksek düzeyde otomatikleştirilmiş istismarlar gerçekleştirmesine olanak tanır. Modüller, hedeflenen cihazlarla etkileşime girerek düşük vasıflı siber aktörlerin operasyonlarının daha yüksek vasıflı aktörlerin yeteneklerini taklit etmesine olanak tanır” okur.
“APT aktörleri, hedeflenen cihazları taramak, cihaz ayrıntıları üzerinde keşif yapmak, hedeflenen cihaza kötü amaçlı konfigürasyon/kod yüklemek, cihaz içeriğini yedeklemek veya geri yüklemek ve cihaz parametrelerini değiştirmek için modüllerden yararlanabilir.”
Güvenliği ihlal edilme ve ele geçirilme riski altındaki ICS/SCADA cihazları şunları içerir:
- Schneider Electric MODICON ve MODICON Nano programlanabilir mantık denetleyicileri (PLC’ler)
- Omron Sysmac NJ ve NX PLC’ler ve
- Açık Platform İletişimleri Birleşik Mimarisi (OPC UA) sunucuları
DOE, CISA, NSA ve FBI ayrıca devlet destekli bilgisayar korsanlarının da kötü amaçlı yazılımlara sahip olduğunu buldu. CVE-2020-15368 Kötü amaçlı kod yürütmek ve yanal olarak BT veya OT ortamlarına geçmek ve bunları bozmak için ASRock anakartları olan Windows sistemlerini hedef alan istismarlar.
ICS cihazlarını hedefleyen yeni PIPEDREAM kötü amaçlı yazılımı
Federal kurumlar, danışma belgesinde belirtilen bilgisayar korsanlığı araçları ve kötü amaçlı yazılımlar hakkında herhangi bir ek bilgi paylaşmasa da endüstriyel siber güvenlik firması Dragos’un kurucu ortağı ve CEO’su Robert M. Lee, şirketin kötü amaçlı yazılım türlerinden birini şu şekilde takip ettiğini söyledi. PIPEDREAM, 2022’nin başlarında keşfedildiğinden beri.
Dragos’un CHERNOVITE Activity Group (AG) olarak takip ettiği bir grup tarafından geliştirilen bu, şimdiye kadar bulunan yedinci ICS’ye özgü kötü amaçlı yazılımdır.
“Dragos, PIPEDREAM’in henüz vahşi doğada yıkıcı etkiler için kullanılmadığını büyük bir güvenle değerlendiriyor. Bu, düşmanlar tarafından konuşlandırılmadan önce geliştirilen kötü niyetli yeteneklere erişme ve bunları analiz etme konusunda nadir görülen bir durumdur ve savunuculara önceden hazırlanmak için benzersiz bir fırsat verir.” şirket diyor.
“PIPEDREAM, çok çeşitli endüstriyel kontrol programlanabilir mantık kontrolörlerini (PLC) ve Omron ve Schneider Electric kontrolörleri de dahil olmak üzere endüstriyel yazılımları manipüle edebilir.
“Ayrıca her yerde bulunan endüstriyel teknolojiler CoDeSyS, Modbus ve OPC UA’ya karşı saldırılar gerçekleştirebilir. Birlikte, dünya çapındaki endüstriyel varlıkların önemli bir yüzdesi PIPEDREAM’e karşı savunmasızdır.”
Federal kurumlar, ağ savunucularının bu yeni yetenekleri ve kötü amaçlı araçları kullanarak endüstriyel ağlarını saldırılardan korumak için önlemler almaya başlamalarını tavsiye ediyor.
ICS ağlarına uzaktan erişim için çok faktörlü kimlik doğrulamayı (MFA) zorunlu kılmayı, ICS/SCADA cihazları ve sistemlerine varsayılan parolaları değiştirmeyi, parolaları döndürmeyi ve kötü niyetli göstergeleri ve davranışları tespit etmek için OT izleme çözümlerini kullanmayı önerirler.
Ek etki azaltma önlemleri şurada bulunabilir: bugünün tavsiyesiOT sistemlerini hedef alan saldırıları engelleme konusunda CISA ve Savunma Bakanlığı tarafından sağlanan daha fazla bilgi ile [PDF], segmentasyon yoluyla katman ağ güvenliğive endüstriyel sistemlerde maruziyeti azaltmak.