ShadowPad arka kapısını ve MS Exchange güvenlik açığını kullanan inatçı tehdit keşfedildi
Ekim 2021’in ortalarında Kaspersky ICS CERT, birkaç Asya ülkesinde telekomünikasyon, üretim ve ulaşım kuruluşlarına saldıran, Çince konuşan ve önceden keşfedilmemiş bir tehdit aktörü keşfetti. İlk saldırı sırasında grup, ShadowPad kötü amaçlı yazılımını dağıtmak ve kurbanının bina otomasyon sistemlerine sızmak için MS Exchange güvenlik açığından yararlandı.
Bina otomasyon sistemleri (BAS), elektrik ve ısıtmadan yangın ve güvenliğe kadar bina içindeki tüm fonksiyonları birbirine bağlıyor ve tek bir kontrol merkezinden yönetiliyor. BAS’ın güvenliği ihlal edildiğinde, bilgi güvenliğiyle ilgili olanlar da dahil olmak üzere o kuruluştaki tüm süreçler risk altında oluyor.
Kaspersky ICS CERT uzmanları, Pakistan, Afganistan ve Malezya’daki endüstriyel ve telekomünikasyon sektöründeki kuruluşlara yönelik bu tarz saldırıları tespit ediyor. Saldırıların benzersiz bir dizi taktik, teknik ve prosedüre (TTP) sahip olması, saldırıların arkasında aynı Çince konuşan tehdit aktörünün olduğu şüphesini güçlendiriyor. Tehdit aktörünün özellikle şirketlerin altyapılarına ait bina otomasyon sistemlerini sızma noktası olarak kullandığına dikkat çekiliyor. Bu APT grupları için alışılmadık bir durum. Saldırgan, söz konusu sistemlerin kontrolünü ele alarak saldırıya uğrayan organizasyonun daha hassas noktalarına ulaşabiliyor.
Araştırmanın gösterdiği üzere, APT grubunun ana aracını ShadowPad arka kapısı oluşturuyor. Kaspersky, bu kötü amaçlı yazılımın Çince konuşan çeşitli APT aktörleri tarafından kullanıldığına tanık oluyor. Gözlenen saldırılar sırasında ShadowPad arka kapısı, meşru yazılım kisvesi altında saldırıya uğrayan bilgisayarlara indiriliyor. Çoğu durumda saldıran grup, MS Exchange’deki bilinen bir güvenlik açığından yararlanıyor ve komutları manuel olarak giriyor. Bu, saldırıların yüksek oranda hedefli olduğuna işaret ediyor.
Kaspersky ICS CERT Güvenlik Uzmanı Kirill Kruglov, şunları söylüyor:
“Bina otomasyon sistemleri, ileri düzey tehdit aktörleri için nadir hedeflerdir. Bununla birlikte bu sistemler son derece gizli bilgilere açılan bir arka kapı görevi görebilir ve saldırganlara diğer, daha güvenli altyapı alanlarına erişim imkanı sağlayabilir. Bu tür saldırılar son derece hızlı geliştiğinden, çok erken aşamalarında tespit edilmeli ve önlenmelidir. Bu nedenle tavsiyemiz, özellikle hedef alınan kritik sektörlerde bahsi geçen sistemleri sürekli olarak izlemenizdir.”
Kaspersky’nin ICS CERT web sitesinde otomasyon sistemlerini hedef alan saldırılar hakkında daha fazla bilgi edinebilirsiniz.
OT bilgisayarlarınızı çeşitli tehditlerden korumak için Kaspersky uzmanları şunları öneriyor:
- İşletme ağının parçası olan işletim sistemlerini ve uygulama yazılımlarını düzenli olarak güncelleyiniz. Güvenlik düzeltmelerini ve yamaları kullanılabilir olduklarında OT ağ ekipmanına uygulayınız.
- Olası güvenlik açıklarını belirlemek ve ortadan kaldırmak için OT sistemlerinde düzenli güvenlik denetimleri yapınız.
- OT sistemlerini ve ana kurumsal varlıkları potansiyel olarak tehdit eden saldırılara karşı daha iyi koruma için OT ağ trafiği izleme, analiz ve algılama çözümlerini kullanınız.
- BT güvenlik ekipleri ve OT mühendisleri için özel OT güvenlik eğitimleri sağlayın. Bu, yeni ve gelişmiş kötü amaçlı tekniklere karşı yanıtı iyileştirmek adına çok önemlidir.
- Endüstriyel kontrol sistemlerinin korunmasından sorumlu güvenlik ekibine güncel tehdit istihbaratı sağlayınız. ICS Tehdit İstihbarat Raporlama hizmeti, mevcut tehditler ve saldırı vektörlerinin yanı sıra OT’deki en savunmasız unsurlara ve bunların nasıl azaltılacağına dair içgörüler sağlıyor.
- Tüm kritik sistemler için kapsamlı koruma sağlamak üzere OT uç noktaları ve ağlar için Kaspersky Industrial CyberSecurity gibi güvenlik çözümlerini kullanınız.
- BT altyapınızı koruyunuz. Entegre Uç Nokta Güvenliği, kurumsal uç noktaları koruyor ve otomatikleştirilmiş tehdit algılama ve yanıt yetenekleri sağlıyor.