Şirket açıklamasına göre, olay incelemeleri sırasında Kaspersky uzmanları, operasyonel teknoloji (OT) ağını ayrı ve güvenli tutma konusunda sorunlar yaşandığına tanık oldu.
Çalışanlara veya sözleşmelilere OT ağlarına erişim izni verirken, bilgi güvenliği önlemleri genellikle göz ardı ediliyor. Başlangıçta geçici olarak kurulan TeamViewer veya Anydesk gibi uzaktan yönetim araçları fark edilmeden aktif kalabiliyor ancak bu kanalların saldırganlar tarafından kolayca istismar edilebileceğini unutmamak önemli.
Kaspersky uzmanları, kötü amaçlı yazılımların yayılmasına katkıda bulunan eski güvenlik çözümü veritabanları, eksik lisans anahtarları, kullanıcı tarafından başlatılan anahtar kaldırma işlemleri, devre dışı bırakılmış güvenlik bileşenleri, tarama ve korumaya dair istisnalar tespit etti. Örneğin, veritabanları güncel değilse ve bir güvenlik çözümü otomatik olarak güncellenemiyorsa sofistike tehdit aktörlerinin tespit edilmekten kaçınmaya çalıştığı APT saldırılarında olduğu gibi gelişmiş tehditlerin hızlı ve kolay bir şekilde yayılmasına izin verebilir.
Bir güvenlik çözümünün uygun şekilde yapılandırılması, APT grupları/aktörleri tarafından sıklıkla kullanılan bir taktik olan güvenlik çözümlerinin devre dışı bırakılmasını ve hatta kötüye kullanılmasını önlemek adına çok önemli. Aksi halde saldırganlar, sistemin diğer bölümlerine girmek için güvenlik çözümünde depolanan ağ bilgilerini çalabilir veya profesyonel bilgi güvenliği dilini kullanarak yanal hareket gerçekleştirebilir.
Kaspersky ICS CERT, 2022'de APT taktiklerinde uygun yapılandırmaları daha da hayati hale getiren yeni bir eğilim fark etti. Örneğin, saldırganlar yanal hareket etmenin yollarını ararken artık etki alanı denetleyicisi gibi kritik bilgi teknolojileri sistemlerini ele geçirmekle yetinmiyor. Bir sonraki hedefe, yani güvenlik çözümlerinin yönetim sunucularına yöneliyor. Hedefler; kötü amaçlı yazılımı kontrol edilmeyecek programlar listesine koymaktan virüslü ağdan tamamen ayrı olması gereken sistemlere bulaşmak için güvenlik sistemindeki araçları kullanmaya kadar değişebiliyor.
"Sürekli zafiyet değerlendirmesi ve zafiyet yönetimi süreci oluşturun"Endüstriyel kontrol sistemleri, iş istasyonları ve sunuculara güvenlik güncellemeleri yüklemek gibi basit görevlerin bile dikkatli bir şekilde test edilmesini gerektiren benzersiz bir çalışma şekline sahiptir. Bu test, genellikle planlı bakım sırasında gerçekleşir ve güncellemelerin seyrek olmasına neden olur. Bu da tehdit aktörlerine bilinen zayıflıklardan faydalanmak ve saldırılarını gerçekleştirmek için bolca zaman verir.
Açıklamada görüşlerine yer verilen Kaspersky Endüstriyel Kontrol Sistemleri Siber Acil Durum Müdahale Ekibi Başkanı Evgeny Goncharov, OT ağının izolasyonunun yalnızca ağ ekipmanının yapılandırmasına bağlı olduğu durumlarda deneyimli saldırganların bu ekipmanı her zaman kendi avantajlarına göre yeniden yapılandırabildiğini belirterek, şunları kaydetti:
"Örneğin, kötü amaçlı yazılım trafiğini kontrol etmek için proxy sunucularına dönüştürülebilir veya izole edildiğine inanılan ağlara kötü amaçlı yazılım depolamak ve dağıtmak için kullanabilir. Bu tür kötü niyetli faaliyetlere birçok kez tanık olduk. Bazı durumlarda, sunucu işletim sisteminin güncellenmesi özel bir yazılımın (SCADA sunucusu gibi) güncellenmesini gerektirebilir. Bu da ekipmanın terfisini gerektirir ve bunların hepsi çok pahalı olabilir. Sonuç olarak, endüstriyel kontrol sistemi ağlarında eski sistemler yer alıyor. Şaşırtıcı bir şekilde, endüstriyel işletmelerde güncellenmesi nispeten kolay olabilen internete dönük sistemler bile uzun süre savunmasız kalabiliyor. Bu durum gerçek dünyadaki saldırı senaryolarının da gösterdiği üzere, OT saldırılara ve ciddi risklere maruz bırakıyor."
Kaspersky uzmanları, kuruluşları tehditlerden korumak için şunları öneriyor:
"Kuruluşunuzun OT veya kritik altyapısı varsa kurumsal ağdan ayrıldığından veya en azından yetkisiz bağlantı olmadığından emin olun. Olası güvenlik açıklarını belirlemek ve ortadan kaldırmak için OT sistemlerinde düzenli güvenlik denetimleri gerçekleştirin. Sürekli zafiyet değerlendirmesi ve zafiyet yönetimi süreci oluşturun. Teknolojik süreçleri ve ana kurumsal varlıkları potansiyel olarak tehdit eden saldırılara karşı daha iyi koruma için ICS ağ trafiği izleme, analiz ve tespit çözümlerini kullanın. Kurumsal uç noktaların yanı sıra endüstriyel uç noktaları da koruduğunuzdan emin olun. Kaspersky Industrial CyberSecurity çözümü, uç noktalar için özel koruma ve endüstriyel ağdaki şüpheli ve potansiyel olarak kötü amaçlı etkinlikleri ortaya çıkarmak için ağ izleme özellikleri içerir.
OT çözümlerindeki güvenlik açıklarıyla ilişkili riskleri daha gerçekçi bir şekilde anlamak ve bunları azaltma konusunda bilinçli kararlar almak için teknik yeteneklerinize ve ihtiyaçlarınıza bağlı olarak okunabilir raporlar veya makine tarafından okunabilir veri akışı elde etmek amacıyla Kaspersky ICS Vulnerability Intelligence hizmetine erişmenizi öneririz. Bilgi teknolojileri güvenlik ekipleri ve OT mühendisleri için özel ICS güvenlik eğitimi, yeni ve gelişmiş kötü amaçlı tekniklere karşı müdahaleyi iyileştirmek için çok önemlidir."