MS Exchange güvenlik açığını kullanan inatçı tehdit keşfedildi

Bina otomasyon sistemleri (BAS), elektrik ve ısıtmadan yangın ve güvenliğe kadar bina içindeki tüm fonksiyonları birbirine bağlıyor ve tek bir kontrol merkezinden yönetiliyor. BAS'ın güvenliği ihlal edildiğinde, bilgi güvenliğiyle ilgili olanlar da dahil olmak üzere o kuruluştaki tüm süreçler risk altında oluyor.

Kaspersky ICS CERT uzmanları, Pakistan, Afganistan ve Malezya'daki endüstriyel ve telekomünikasyon sektöründeki kuruluşlara yönelik bu tarz saldırıları tespit ediyor. Saldırıların benzersiz bir dizi taktik, teknik ve prosedüre (TTP) sahip olması, saldırıların arkasında aynı Çince konuşan tehdit aktörünün olduğu şüphesini güçlendiriyor. Tehdit aktörünün özellikle şirketlerin altyapılarına ait bina otomasyon sistemlerini sızma noktası olarak kullandığına dikkat çekiliyor. Bu APT grupları için alışılmadık bir durum. Saldırgan, söz konusu sistemlerin kontrolünü ele alarak saldırıya uğrayan organizasyonun daha hassas noktalarına ulaşabiliyor.

Araştırmanın gösterdiği üzere, APT grubunun ana aracını ShadowPad arka kapısı oluşturuyor. Şirket, bu kötü amaçlı yazılımın Çince konuşan çeşitli APT aktörleri tarafından kullanıldığına tanık oluyor. Gözlenen saldırılar sırasında ShadowPad arka kapısı, meşru yazılım kisvesi altında saldırıya uğrayan bilgisayarlara indiriliyor. Çoğu durumda saldıran grup, MS Exchange'deki bilinen bir güvenlik açığından yararlanıyor ve komutları manuel olarak giriyor. Bu, saldırıların yüksek oranda hedefli olduğuna işaret ediyor.

Şirketin ICS CERT Güvenlik Uzmanı Kirill Kruglov, şunları söylüyor: “Bina otomasyon sistemleri, ileri düzey tehdit aktörleri için nadir hedeflerdir. Bununla birlikte bu sistemler son derece gizli bilgilere açılan bir arka kapı görevi görebilir ve saldırganlara diğer, daha güvenli altyapı alanlarına erişim imkanı sağlayabilir. Bu tür saldırılar son derece hızlı geliştiğinden, çok erken aşamalarında tespit edilmeli ve önlenmelidir. Bu nedenle tavsiyemiz, özellikle hedef alınan kritik sektörlerde bahsi geçen sistemleri sürekli olarak izlemenizdir.”

OT bilgisayarlarınızı çeşitli tehditlerden korumak için uzmanlar şunları öneriyor:

· İşletme ağının parçası olan işletim sistemlerini ve uygulama yazılımlarını düzenli olarak güncelleyiniz. Güvenlik düzeltmelerini ve yamaları kullanılabilir olduklarında OT ağ ekipmanına uygulayınız.

· Olası güvenlik açıklarını belirlemek ve ortadan kaldırmak için OT sistemlerinde düzenli güvenlik denetimleri yapınız.

· OT sistemlerini ve ana kurumsal varlıkları potansiyel olarak tehdit eden saldırılara karşı daha iyi koruma için OT ağ trafiği izleme, analiz ve algılama çözümlerini kullanınız.

· BT güvenlik ekipleri ve OT mühendisleri için özel OT güvenlik eğitimleri sağlayın. Bu, yeni ve gelişmiş kötü amaçlı tekniklere karşı yanıtı iyileştirmek adına çok önemlidir.

· Endüstriyel kontrol sistemlerinin korunmasından sorumlu güvenlik ekibine güncel tehdit istihbaratı sağlayınız.

· Tüm kritik sistemler için kapsamlı koruma sağlamak üzere OT uç noktaları ve ağlar için güvenlik çözümlerini kullanınız.

· BT altyapınızı koruyunuz.