ABD'deki endüstriyel altyapı tesisleri, İran hükümetiyle bağlantılı gelişmiş kalıcı tehdit (APT) gruplarının doğrudan hedefi haline geliyor. Federal kurumlar tarafından yayımlanan ortak raporda, fabrikalar, su arıtma merkezleri ve petrol rafinerilerindeki programlanabilir mantık denetleyicilerine (PLC) yönelik siber saldırıların arttığı belirtiliyor. Bu donanımlar, otomasyon için kullanılan bilgisayarlar ile fiziksel makineler arasında doğrudan bir arayüz görevi üstleniyor.
İnternete Açık Cihazlar Risk Altında
Güvenlik kurumlarının incelemelerine göre, hükümet hizmetleri, atık su sistemleri ve enerji sektörlerinde kullanılan Rockwell Automation ve Allen-Bradley üretimi PLC cihazları öncelikli olarak hedef alınıyor. Güvenlik firması Censys tarafından yapılan ağ taramalarında, %75'i ABD'de bulunan ve internete açık olan 5.219 adet savunmasız cihaz tespit ediliyor. Kurban kuruluşların sistemlerinde operasyonel kesintiler yaşanırken, uzak konumdaki tesislerin izole yapısı anında müdahaleleri zorlaştırıyor.
TCP 43589 Portu Üzerinden Sızma
Saldırganlar internete açık PLC'lere erişmek için yasal satıcı yazılımı olan Rockwell Studio 5000 Logix Designer'ı kullanarak proje dosyalarını manipüle ediyor ve HMI/SCADA ekran verilerini değiştiriyor. Sızma işlemlerinde alışılmadık TCP portu 43589 üzerinden Uzak Masaüstü Protokolü (RDP) çalıştırılıyor ve DESKTOP-BOE5MUC ortak adına sahip kendinden imzalı bir sertifika kullanılıyor. Etkilenen sistemler ayrıca DCERPC/135, MSMQ ve NetBIOS gibi tam bir Windows protokol yığınını dış ağa açığa çıkarıyor.
Genişleyen Tehdit Vektörü Ve DDoS Saldırıları
Sistem logları, Modbus S7/10 gibi diğer operasyonel teknoloji protokollerinin de sürekli olarak tarandığını ve farklı üreticilere ait cihazların risk altında olduğunu kanıtlıyor. Daha önce CyberAv3ngers grubuyla 75 ABD tesisini vuran İran bağlantılı ekipler, yakın zamanda tıbbi cihaz üreticisi Stryker'ın altyapısını felç eden Handala grubuyla benzer taktikler uyguluyor. Veriler, bu proxy gruplarının endüstriyel tesislerin yanı sıra büyük medya platformlarına ve devlet portallarına yönelik başarılı DDoS saldırılarını artırdığını gösteriyor.
Sistem Yöneticileri İçin Pratik Adımlar
Federal kurumlar tarafından yayımlanan acil uyarı metni, saldırganların altyapısına ait IP adreslerini ve ağdaki ihlal göstergelerini (IoC) içeriyor. Hedeflenen donanımların manipüle edilmesini engellemek için sistem yöneticilerinin TCP 43589 portunu dış ağlara derhal kapatması gerekiyor. Ayrıca endüstriyel tesislerin internete açık olan tüm PLC cihazlarını sıfır güven (Zero Trust) mimarisine geçirerek VPN tünellerinin arkasına alması donanımsal bir zorunluluk haline geliyor.