Ocak 2022’de Kaspersky araştırmacıları, askeri kuruluşlara ve kamu kuruluşlarına yönelik birkaç gelişmiş saldırıya tanık oldu. Saldırıların temel amacı, şirketlerin özel bilgilerine erişmek ve BT sistemlerini kontrol altına almaktı. Saldırganlar tarafından kullanılan kötü amaçlı yazılım, Çince konuşan bir APT grubu olan TA428 APT tarafından dağıtılana benziyordu.
Saldırganlar, bazıları e-postaların gönderildiği sırada kamuya açıklanmamış olan kuruluşlara özel sırlar içeren, özenle hazırlanmış kimlik avı e-postaları göndererek kurumsal ağlara sızdı. Bu, saldırganların kasıtlı olarak saldırılara hazırlandıklarını ve hedeflerini önceden seçtiklerini gösteriyor. Kimlik avı e-postaları, saldırganın herhangi bir etkinlik olmadan rastgele kod yürütmesine olanak tanıyan bir güvenlik açığından yararlanmak için kötü amaçlı kod içeren bir Microsoft Word belgesi içeriyordu. Söz konusu güvenlik açığı, Microsoft Office’in bir bileşeni olan Microsoft Denklem Düzenleyicisi’nin eski sürümlerinde bulunuyor.
Saldırganlar ayrıca aynı anda altı farklı arka kapı kullandılar. Bunu kötü amaçlı programlardan birinin güvenlik çözümü tarafından tespit edilip kaldırılması durumunda virüslü sistemlerle ek iletişim kanalları kurmak için yaptılar. Bu arka kapılar, virüslü sistemleri kontrol etmek ve gizli verileri toplamak için kapsamlı işlevsellik sağladı.
Saldırının son aşaması, etki alanı denetleyicisini ele geçirmeyi ve kuruluşun tüm iş istasyonları ve sunucularının tam kontrolünü ele geçirmeyi içeriyordu. Hatta vakalardan birinde siber güvenlik çözümleri kontrol merkezini bile ele geçirdiler. Etki alanı yöneticisi ayrıcalıkları ve Active Directory’ye erişim kazandıktan sonra saldırganlar, kuruluşların keyfi kullanıcı hesaplarını taklit etmek ve saldırıya uğrayan kuruluşun hassas verilerini ve diğer dosyaları aramak için “altın bilet” adı verilen esas saldırıyı gerçekleştirdiler.
Kaspersky ICS CERT Güvenlik Uzmanı Vyacheslav Kopeytsev, şunları söylüyor: “Altın bilet saldırıları, Windows 2000’in kullanıma sunulmasından bu yana kullanılan varsayılan kimlik doğrulama protokolünden yararlanıyor. Kerberos Ticket Granting Tickets (TGTs) kurumsal ağ içinde taklit edilerek, saldırganlar ağa ait herhangi bir hizmete bağımsız olarak erişmek mümkün. Sonuç olarak bundan korunmak için yalnızca parolaları değiştirmek veya güvenliği ihlal edilmiş hesapları engellemek yeterli olmayacaktır. Tavsiyemiz, tüm şüpheli etkinlikleri dikkatlice kontrol etmeniz ve güvenilir güvenlik çözümlerine yönelmenizdir.”
Kaspersky ICS CERT üzerinde saldırı hakkında daha fazla bilgi edinebilirsiniz.
ICS bilgisayarlarınızı çeşitli tehditlerden korumak için Kaspersky uzmanları kurumlara şunları öneriyor:
Kuruluş ağının parçası olan işletim sistemlerini ve uygulama yazılımını düzenli olarak güncelleyin. Güvenlik düzeltmelerini ve yamalarını, kullanılabilir oldukları anda BT ve OT ağ ekipmanlarına uygulayın.
Olası güvenlik açıklarını belirlemek ve ortadan kaldırmak için BT ve OT sistemlerinin düzenli güvenlik denetimlerini gerçekleştirin.
Teknolojik süreçleri ve ana kurumsal varlıkları potansiyel olarak tehdit eden saldırılara karşı daha iyi koruma için ICS ağ trafiği izleme, analiz ve algılama çözümlerini kullanın.
Yeni ve gelişmiş kötü amaçlı tekniklere yanıtı iyileştirmek için BT güvenlik ekipleri ve OT mühendisleri için özel güvenlik eğitimi uygulayın.
Endüstriyel kontrol sistemlerini korumaktan sorumlu güvenlik ekibine güncel tehdit istihbaratı sağlayın. ICS Tehdit İstihbarat Raporlama hizmetimiz, mevcut tehditler ve saldırı vektörleri ile OT ve endüstriyel kontrol sistemlerindeki en savunmasız unsurlar ve bunların nasıl azaltılacağı hakkında bilgi sağlar.
Sektör açısından kritik tüm sistemler için kapsamlı koruma sağlamak üzere OT uç noktaları ve ağlarınızda Kaspersky Industrial CyberSecurity gibi güvenlik çözümlerini kullanın.
BT altyapınızı da koruyun. Entegre Uç Nokta Güvenliği, kurumsal uç noktaları korur ve otomatik tehdit algılama ve yanıt yetenekleri sağlar
Kaspersky ICS CERT Hakkında
Kaspersky Endüstriyel Kontrol Sistemleri Siber Acil Müdahale Ekibi (Kaspersky ICS CERT), otomasyon sistemi satıcılarının, endüstriyel tesis sahiplerinin ve operatörlerin ve BT güvenliği araştırmacılarının endüstriyel işletmeleri siber saldırılardan koruma çabalarını koordine etmek için 2016 yılında Kaspersky tarafından başlatılan küresel bir projedir. Kaspersky ICS CERT, çabalarını öncelikle endüstriyel otomasyon sistemlerini ve Endüstriyel Nesnelerin İnternetini hedef alan potansiyel ve mevcut tehditleri belirlemeye adamıştır. Kaspersky ICS CERT, endüstriyel kuruluşları siber tehditlerden korumaya yönelik öneriler geliştiren önde gelen uluslararası kuruluşların aktif bir üyesi ve ortağıdır. ics-cert.kaspersky.com
Kaspersky hakkında
Kaspersky, 1997 yılında kurulan dünya çapında bir siber güvenlik ve dijital gizlilik şirketi. Kaspersky’nin derin tehdit istihbaratı ve güvenlik uzmanlığı, dünya genelindeki işletmeleri, önemli altyapıları, devletleri ve tüketicileri korumak için güvenlik çözümlerini ve hizmetlerini sürekli olarak dönüştürüyor. Şirketin kapsamı güvenlik portföyü, sofistike ve gelişen dijital tehditlerle savaşmak için önde gelen uç nokta korumasını ve bir dizi özel güvenlik çözümünü ve hizmetini içerir. 400 milyondan fazla kullanıcı Kaspersky teknolojileri tarafından korunuyor ve 240.000 kurumsal müşterinin kendileri en önemli varlıklarını korumasına yardımcı oluyoruz. Daha fazla bilgi için www.kaspersky.com adresini ziyaret edin.
News
