Türkiye'nin en güncel forumlardan olan forumdas.com.tr'de forumda aktif ve katkısı olabilecek kişilerden gönüllü katkıda sağlayabilecek kişiler aranmaktadır.
Endüstriyel kuruluşlar hem finansal çıkar hem de istihbarat toplama açısından siber hatalılar için en cazip amaçların başında geliyor. 2021 yılı Lazarus ve APT41 gibi tanınmış APT kümelerinin endüstriyel kuruluşlara saldırdığına sahne oldu. Kaspersky uzmanları diğer bir atak dizisini araştırırken, kümenin savunma sanayisine karşı ThreatNeedle kampanyasında kullandığı özel makûs emelli yazılım olan ve Lazarus'un "Manuscrypt" ile birtakım benzerliklere sahip yeni bir berbat emelli yazılım kesimini ortaya çıkardı. Bu nedenle yazılım PseudoManuscrypt olarak isimlendirildi.
20 Ocak- 10 Kasım 2021 tarihleri ortasında Kaspersky eserleri, 195 ülkede 35 binden fazla bilgisayarda PseudoManuscrypt'i engelledi. Amaçların birden fazla, askeri-endüstriyel işletmeler ve araştırma laboratuvarları dahil olmak üzere sanayi ve devlet kuruluşlarıydı. Taarruza uğrayan bilgisayarların %7,2'si endüstriyel denetim sistemlerinin (ICS) bir kesimiydi. Mühendislik ve bina otomasyonu en çok etkilenen kısımları temsil ediyordu.
PseudoManuscrypt, başlangıçta kimileri ICS'ye özel geçersiz korsan yazılım yükleyici arşivleri aracılığıyla hedeflenen sisteme indiriliyor. Bu geçersiz yükleyicilerin Hizmet Olarak Makûs Maksatlı Yazılım (MaaS) platformu aracılığıyla sunulması mümkün. Enteresan bir halde birtakım durumlarda PseudoManuscrypt, berbat bir üne sahip olan Glupteba botnet aracılığıyla kuruluyor. Birinci bulaşmadan sonra ana berbat gayeli modülü indiren karmaşık bir enfeksiyon zinciri başlatılıyor. Kaspersky uzmanları bu modülün iki çeşidini belirledi. Her ikisi de tuş vuruşlarını günlüğe kaydetme, panodan data kopyalama, VPN (ve potansiyel olarak RDP) kimlik doğrulama bilgilerini ve temas datalarını çalma, ekran manzaralarını kopyalama dahil olmak üzere gelişmiş casusluk yeteneklerine sahip.
Akınlar muhakkak sanayilere dair bir tercih göstermiyor. Lakin taarruza uğrayan çok sayıda mühendislik bilgisayarı, 3D ve fizikî modelleme ve dijital ikizler için kullanılan sistemler de dahil olmak üzere, endüstriyel casusluğun tek bir gaye olabileceğini gösteriyor.
Garip bir formda kurbanlardan kimileri, ICS CERT'nin daha evvel bildirdiği Lazarus kampanyasının kurbanlarıyla bağlantılı görünüyor. Bilgiler, daha evvel sırf APT41'in makus gayeli yazılımıyla kullanılan bir kitaplık yardımıyla ender bir protokol üzerinden saldırganların sunucusuna gönderiliyor. Bununla birlikte çok sayıda kurbanı ve odak eksikliğini göz önüne alarak, Kaspersky kampanyayı Lazarus yahut bilinen rastgele bir APT tehdit aktörüyle ilişkilendirmiyor.
Kaspersky Güvenlik Uzmanı Vyacheslav Kopeytsev, şunları söylüyor: "Bu epey sıra dışı bir kampanya ve elimizdeki çeşitli bilgileri hala bir ortaya getiriyoruz. Fakat açık bir gerçek var: Bu, uzmanların dikkat etmesi gereken bir tehdit ve birçok yüksek profilli kuruluş da dahil olmak üzere binlerce ICS bilgisayarına girmeyi başardı. Güvenlik topluluğunu yeni bulgulardan haberdar ederek araştırmalarımızı sürdüreceğiz."
ICS CERT'de PseudoManuscrypt kampanyası hakkında daha fazla bilgi edinebilirsiniz.
Kaspersky uzmanları, PseudoManuscrypt'ten korunmak için kuruluşlara şunları tavsiye ediyor:
- Tüm sunuculara ve iş istasyonlarına uç nokta muhafaza yazılımı yükleyin
- Tüm uç nokta müdafaa bileşenlerinin sistemlerde etkinleştirildiğini ve birinin yazılımı devre dışı bırakmaya çalışması durumunda yönetici parolasının girilmesini gerektiren unsurların yürürlükte olduğunu denetim edin.
- Active Directory prensiplerinin, kullanıcıların sistemlerde oturum açma teşebbüslerine ait kısıtlamalar içerdiğini denetim edin. Kullanıcıların sırf işlerine dair sorumlulukları yerine getirmek için erişmeleri gereken sistemlere giriş yapmalarına müsaade verilmelidir.
- OT ağındaki sistemler ortasında VPN dahil ağ ilişkilerini kısıtlayın. Operasyonların sürekliliği ve güvenliği için gerekli olmayan tüm temas noktalarındaki temasları bloke edin.
- Bir VPN teması kurarken ikinci kimlik doğrulama faktörü olarak akıllı kartlar (belirteçler) yahut tek seferlik kodlar kullanın. Bunun uygulanabilir olduğu durumlarda, bir VPN temasının başlatılabileceği IP adresleri listesini kısıtlamak için Erişim Denetim Listesi (ACL) teknolojisini kullanabilirsiniz.
- Kuruluş çalışanlarını internet, e-posta ve başka bağlantı kanallarıyla inançlı bir halde çalışma konusunda eğitin. Bilhassa doğrulanmamış kaynaklardan belge indirmenin ve yürütmenin mümkün sonuçlarını açıklayın.
- Lokal yönetici ve tesir alanı yöneticisi ayrıcalıklarına sahip hesapları sırf iş sorumluluklarını yerine getirmek için gerekli olduğunda kullanın.
- Yüksek seviyede bilgi ve güvenlik uzmanlarının uzmanlığına süratle erişebilmek için Yönetilen Tehdit Algılama ve Karşılık hizmetlerini kullanmayı düşünün.
- Atölyeleriniz için özel muhafaza kullanın. Kaspersky Industrial CyberSecurity, endüstriyel uç noktaları korur ve makus niyetli aktiflikleri belirlemek ve engellemek için OT ağını izlemesini sağlar.
