Boru Hatları ve Diğer Endüstriyel Tesislerdeki Siber Saldırılar Nasıl Çalışır?

Pek çok büyük teknoloji kurumunun birbiri ardına siber saldırılara maruz kaldığı haber değil. Ancak boru hatları ve elektrik santralleri gibi endüstriyel tesislerin operasyonel teknolojilerine karşı bir siber saldırı?

Bu cüretkar ve aşağılayıcı. Ve vurduğunda şaka değil. Bu tür saldırılar başarılı olursa endüstriyel operasyonları durdurur ve mağdur sektöre bağımlı insanları olumsuz etkiler. Daha da kötüsü, bir ulusu ekonomik olarak sakat bırakabilir.

Ancak boru hatlarına ve diğer endüstriyel tesislere yönelik siber saldırılar nasıl çalışır? Hadi kazalım.

Endüstriyel Tesislere Neden Siber Saldırılar Olur?

Çoğumuz için, mekanik olarak işletilen bir endüstriyel tesise karşı dijital olarak organize edilmiş bir siber saldırı başlatma şansının nasıl ve neden elde edileceğinin bir anlamı yok.

Gerçekte, artık yapay zeka, makine öğrenimi ve daha fazla dijital teknolojinin endüstriyel tesislerde mekanik ve hatta teknik operasyonları devraldığını görüyoruz. Bu nedenle, operasyonel verileri, lojistik bilgileri ve daha fazlası artık internette ve hırsızlığa ve saldırıya açık.

Siber saldırıların boru hatları, elektrik santralleri, su tedarik istasyonları, gıda endüstrileri ve benzerleri gibi endüstriyel tesislerde daha yaygın hale gelmesinin birçok nedeni var.

Sebep ne olursa olsun, muhtemelen aşağıdaki kategorilerden birine girecektir.

1. Siyasi, Ekonomik ve İş Amaçları

İş açısından bakıldığında, saldırganlar bazen kimyasal formülasyonlar, markalaşma, pazar büyüklüğü, teknik ve iş planları vb. hakkında bilgi edinmek için endüstriyel bir sistemi hacklerler. Bu, rakip bir şirketten veya başlamayı planlayanlardan gelebilir.

Bununla birlikte, siyaset de bir faktör oynar. Devlet destekli siber saldırılar, tipik olarak, ülkelerinin gücünü ve yeteneklerini göstermek için başka bir ülkenin ekonomik altyapısını felce uğratmayı amaçlar. Bunu başarma yollarından biri, mağdur bir ülkenin ekonomisini yönlendiren sektörlerdeki süreçleri bozmak. Ve burada ve orada birkaçının raporları var.

2. Finansal Motifler

Bu, siber saldırıların arkasındaki en yaygın nedenlerden biridir. Saldırganlar, kredi kartı bilgilerinin alınmasından finansal bilgilerin çalınmasına kadar çeşitli finansal amaçlarla endüstriyel bir sisteme girebilir.

Bunu genellikle kötü amaçlı yazılımlar veya truva atları aracılığıyla başarırlar, böylece sisteme algılanmadan girebilirler. İçeri girdikten sonra teknik süreçlerle ilgili verileri sifonlayabilirler. Hacker daha sonra karaborsada çaldığı bilgileri ilgilenen herkese sunabilir.

Para kazanmanın başka bir yolu da, saldırganların hedefin verilerini şifrelediği ve ardından parolayı büyük bir meblağ karşılığında sattığı fidye yazılımı enjeksiyonudur.

İlişkili: Ransomware Nedir ve Nasıl Kaldırabilirsiniz?

Ayrıca, birkaç virüslü bilgisayarın aynı anda bir hedefin web sitesine eriştiği ve bu nedenle sistemlerini ezdiği dağıtılmış hizmet reddi saldırıları (DDoS) vardır. Bu, müşterilerin saldırıyı durdurana kadar söz konusu şirkete ulaşmasını engeller.

Bu Siber Saldırılar Nasıl Çalışıyor? Önemli Örnekler

Artık endüstriyel tesislere yönelik siber saldırıların arkasındaki belirgin nedenleri gördünüz. Bu dikkate değer örneklerden nasıl çalıştığına dair fikir edinelim.

1. Koloni Boru Hattı

Koloni Boru Hattı, ABD içinde günde yaklaşık 3 milyon varil petrol ürünü taşıyor. ABD'deki en büyük yakıt boru hattı. Tabii ki, böyle karmaşık bir sistemi hacklemenin zorluğunu hayal edebilirsiniz.

Ama akıl almaz şey oldu. Başkan Joe Biden'ın jet yakıtı kıtlığı ve panik halinde benzin ve kalorifer yakıtı satın alması nedeniyle olağanüstü hal ilan etmesiyle, saldırının haberi Mayıs 2021 boyunca manşetlere taşındı. Bu, boru hattının siber saldırı nedeniyle tüm operasyonları kapatmasından sonraydı.

Bilgisayar korsanları Koloni Boru Hattı operasyonlarını nasıl sekteye uğrattı? Fidye yazılımı aracılığıyla. Spekülasyonlar, saldırganların haftalardır fark edilmeden boru hattının ağında olduğu yönündeydi.

Bir personelin sızdırılmış şifresini ve üzerinde bulunan kullanıcı adını kullanarak boru hattının ağına eriştikten sonra karanlık ağ, saldırganlar, boru hattının BT sistemine kötü amaçlı yazılımlar enjekte ederek faturalandırma ağlarını şifreledi ve onları rehin tuttu. Daha sonra yaklaşık 100 gigabayt veri çalmak için daha ileri gittiler ve şifre çözme karşılığında Bitcoin olarak ödenen bir fidye istediler.

Bahsedilen kullanıcı adı ve şifre dark web'e nasıl sızdı? Kimse emin değildi. Ancak olası bir suçlu, Colonial Pipeline personelini hedef alan kimlik avıdır.

İlişkili: Sömürge Boru Hattı Saldırısının Arkasında Kim Vardı?

Bu saldırı dijital olarak çalıştırılan mekanik sistemleri etkilemese de, Colonial Pipeline siber saldırıya rağmen daha fazla operasyon riskine girseydi fidye yazılımının etkisi daha yıkıcı olabilirdi.

2. Oldsmar Su Temini Sistemi (Florida)

Oldsmar su tedarik sistemi durumunda, bilgisayar korsanları, teknik ekip tarafından kullanılan bir ekran paylaşım yazılımı olan TeamViewer aracılığıyla kimyasal arıtma altyapısının sanal kontrolünü ele geçirdi.

İçeri girdikten sonra saldırgan doğrudan tesisin arıtma kontrol sistemine girdi ve seviyeyi yükseltti. Suya toksik bir seviyeye eklenen sodyum hidroksit - tam olarak milyonda 100 ila 11.100 kısım (ppm).

Nöbetçi personel kimyasal seviyesindeki bu saçma artışı fark etmese ve normale indirse, hackerlar toplu katliam yapacaktı.

Bu saldırganlar, insan-makine arayüzüne uzaktan erişmek için TeamViewer kimlik bilgilerini nasıl elde ettiler?

Oldsmar'ın kontrol sistemindeki iki güvenlik açığından yararlanmış olmalılar. İlk olarak, tüm personel, saldırıya uğramış sisteme erişmek için aynı TeamViewer Kimliğini ve parolasını kullandı. İkincisi, Microsoft'un, desteğin kesilmesi nedeniyle kötü amaçlı yazılım saldırılarına karşı daha savunmasız olduğunu söylediği Windows 7'de çalıştığı için sistemin yazılımı eskiydi.

Bilgisayar korsanları ya zorla girmiş ya da kötü amaçlı yazılım kullanarak eski sistemi koklamış olmalı.

3. Ukrayna Elektrik Santralleri

Aralık 2015'te Ukrayna elektrik şebekesinin bir siber saldırıya uğramasının ardından yaklaşık 225 bin kişi karanlığa gömüldü. Bu kez saldırganlar, amaçlarına ulaşmak için çok yönlü bir sistem kontrolü kötü amaçlı yazılımı olan BlackEnergy'yi kullandılar.

Ancak bu kötü amaçlı yazılımı bu kadar büyük bir endüstriyel kuruluma enjekte etmenin bir yolunu nasıl buldular?

Bilgisayar korsanları daha önce saldırıdan önce büyük bir kimlik avı kampanyası başlatmıştı. Kimlik avı e-postası, çalışanları, Makrolar olarak gizlenmiş kötü amaçlı bir eklenti yüklemelerini isteyen bir bağlantıya tıklamaları için kandırdı.

Söz konusu eklenti, BlackEnergy botunun arka kapı erişimi yoluyla ızgara sistemine başarılı bir şekilde bulaşmasına izin verdi. Bilgisayar korsanları daha sonra personelin şebeke sistemini uzaktan kontrol etmesine izin veren VPN kimlik bilgilerini aldı.

İçeri girdikten sonra, bilgisayar korsanlarının süreçleri izlemesi zaman aldı. Ve hazır olduklarında, personeli tüm sistemlerden çıkardılar, denetleyici kontrol ve veri toplama (SCADA) işlemcisinin kontrolünü ele geçirdiler. Daha sonra yedek gücü devre dışı bıraktılar, 30 güç trafo merkezini kapattılar ve hizmet reddi saldırıları kesinti raporlarını önlemek için.

4. Triton Saldırısı

Triton, öncelikle endüstriyel kontrol sistemlerini hedefleyen bir kötü amaçlı yazılım betiğidir. Gücü, 2017'de bir grup bilgisayar korsanı, uzmanların Suudi Arabistan'da bir petrokimya santrali olduğuna inandıkları şeye enjekte ettiğinde hissedildi.

Bu saldırı aynı zamanda, kötü amaçlı yazılımı enjekte etmeden önce kontrol sistemlerine ilk arka kapı erişimi elde etmek için kimlik avı ve parolaların olası kaba zorlanması modelini de izledi.

Bunu takiben, bilgisayar korsanları, arızaları doğru bir şekilde rapor etmelerini önlemek için güvenlik enstrümanlı sistem (SIS) iş istasyonuna uzaktan kontrol erişimi sağladı.

İlişkili: Tedarik Zinciri Hack Nedir ve Nasıl Güvende Kalabilirsiniz?

Ancak, saldırganların yalnızca gerçek bir saldırı başlatmadan önce sistemin nasıl çalıştığını öğrendiği görülüyordu. Bilgisayar korsanları etrafta dolaşıp kontrol sistemini değiştirirken, arıza emniyetini etkinleştiren bazı güvenlik sistemleri sayesinde tüm tesis kapandı.

5. Stuxnet Saldırısı

Stuxnet, öncelikle nükleer tesislerdeki programlanabilir mantık denetleyicilerini (PLC'ler) hedefleyen bir bilgisayar solucanıdır. ABD ve İsrail ortak ekibi tarafından geliştirilen solucan, Windows işletim sistemi için bir yakınlık ile USB flash aracılığıyla seyahat eder.

Stuxnet, kontrol sistemlerini devralarak ve PLC'lerde hasar oluşturmak için mevcut programları değiştirerek çalışır. 2010 yılında İran'daki bir Uranyum zenginleştirme tesisine karşı bir siber silah olarak kullanıldı.

Tesis içindeki 200.000'den fazla bilgisayara bulaştıktan sonra solucan, Uranyum santrifüjündeki döndürme talimatlarını yeniden programladı. Bu, onların aniden dönmelerine ve süreçte kendi kendilerini yok etmelerine neden oldu.

6. JBS Et İşleme Tesisi

Kâr yakın olduğundan, bilgisayar korsanları gıda işleme endüstrilerini keşiflerinden muaf tutmayacak. Mali neden, bilgisayar korsanlarını Haziran 2021'de dünyanın en büyük et işleme tesisi olan JBS'de kaçırma operasyonlarına yöneltti.

Sonuç olarak, şirket Kuzey Amerika ve Avustralya'daki tüm operasyonlarını durdurdu. Bu, Koloni Boru Hattı'nın saldırısından birkaç hafta sonra oldu.

JBS endüstriyel tesisine yapılan saldırı nasıl gerçekleşti?

Colonial Pipeline vakasında olduğu gibi, saldırganlar JBS et işleme sistemine fidye yazılımı bulaştırdı. Ardından, şirketin kripto para biriminde bir fidye ödememesi durumunda yüksek profilli bilgileri silmekle tehdit ettiler.

Endüstriyel Siber Saldırılar Bir Modeli İzler

Bu saldırıların her birinin bir eylem planı olsa da, çıkarabileceğimiz bir kalıp, bilgisayar korsanlarının ilk girişi elde etmek için kimlik doğrulama protokollerini ihlal etmesi gerektiğidir. Bunu kaba zorlama, kimlik avı veya koklama yoluyla başarırlar.

Ardından, hedeflerine ulaşmalarına yardımcı olmak için hedef endüstriyel sisteme herhangi bir kötü amaçlı yazılım veya virüs yüklerler.

Endüstriyel Tesislere Yönelik Siber Saldırılar Yıkıcı

Siber saldırı artıyor ve internette korkutucu derecede kazançlı hale geliyor. Görüldüğü gibi sadece hedeflenen organizasyonu etkilemekle kalmıyor, aynı zamanda ürünlerinden faydalanan kişilere de yayılıyor. Mekanik operasyonların kendisi siber saldırılara karşı savunmasız değildir, ancak arkalarındaki kontrol eden dijital teknolojiler onları savunmasız hale getirir.

Bununla birlikte, dijital kontrol sistemlerinin teknik süreçler üzerindeki etkisi değerlidir. Endüstriler, siber saldırıları önlemek için yalnızca güvenlik duvarlarını güçlendirebilir ve katı güvenlik kurallarını, denetimlerini ve dengelerini takip edebilir.

Siber Saldırıları Önlemek İçin En İyi 6 Web Uygulaması Güvenlik Uygulaması

Siber saldırıları önlemek çok önemlidir ve web uygulamalarını kullanırken akıllı olmak çevrimiçi ortamda kendinizi korumanıza yardımcı olur.

Sonrakini Oku

Yazar hakkında