Yeni Zararlı Yazılım, Endüstriyel Kontrol Sistemlerindeki Kritik Mühendislik Süreçlerini Tehdit Ediyor

Forescout Research, işletim teknolojisi (OT) ve endüstriyel kontrol sistemlerindeki (ICS) mühendislik istasyonlarını hedef alan artan bir tehdidi belirlemiştir.

Salı günü yayınlanan analiz, bu iş istasyonlarını hedef alan zararlı yazılımların giderek daha yaygın hale geldiğini vurguluyor.

Araştırma, Mitsubishi mühendislik istasyonunun Ramnit solucanı ile enfekte olmasını ve Siemens mühendislik süreçlerini bozan yeni deneysel bir zararlı yazılım olan Chaya_003’ü içeren VirusTotal’da bulunan zararlı yazılımlara odaklandı.

OT-özgü zararlı yazılımlar, kurumsal yazılımlara veya mobil işletim sistemlerine yapılan saldırılardan daha az yaygın olmasına rağmen, endüstriyel ortamlardaki güvenlik operatörleri için önemli bir endişe kaynağıdır.

Kritik altyapının kontrolünü ve izlenmesini sağlayan mühendislik istasyonları, bu tür saldırıların ana hedeflerindendir. SANS Enstitüsü tarafından hazırlanan bir rapor, mühendislik istasyonlarının ihlal edilmesini, OT sistem olaylarının %20’sinden fazlasından sorumlu olan önde gelen bir saldırı vektörü olarak belirlemiştir.

Forescout tarafından yapılan analiz, hem geleneksel işletim sistemlerini (örneğin Windows) hem de Siemens TIA Portal ve Mitsubishi GX Works gibi özel mühendislik yazılımlarını çalıştıran mühendislik istasyonlarına yönelik zararlı yazılımları hedef almıştır.

Araştırma, bu iş istasyonlarını hedef alan iki ana malware kümelenmesi buldu. Bir durumda, Mitsubishi GX Works uygulamaları, iki ayrı olayda Ramnit solucanı ile enfekte edildi. İkincisi, Siemens mühendislik süreçlerini sonlandırmak üzere özel olarak tasarlanmış yeni bir malware varyantı olan Chaya_003’ün üç örneğini içeriyordu.

Başlangıçta bankacılık bilgilerini hedef alan bir malware türü olarak bilinen Ramnit, OT sistemlerini enfekte edebilen daha sofistike bir platforma dönüştü. Forescout tarafından yapılan son bulgular, Ramnit’in OT ağları için sürekli bir tehdit olmaya devam ettiğini gösteriyor.

Bu kötü amaçlı yazılım, kompromize olmuş fiziksel cihazlar gibi USB sürücüler veya güvenliği yetersiz ağ sistemleri aracılığıyla yayılabilir. Bu enfeksiyonların belirli vektörü hala belirsiz olmasına rağmen, kötü amaçlı yazılımın OT ortamlarını etkilemeye devam ettiği açıktır.

Öte yandan, Chaya_003, yeni ve evrimleşen bir tehdidi temsil ediyor. Kötü amaçlı yazılımın temel işlevleri arasında kritik mühendislik süreçlerini sonlandırmak bulunuyor. Tasarımı, güvenlik yazılımları tarafından tespit edilmemek için meşru sistem süreçlerine taklit etme girişimlerini işaret ediyor.

Forescout, zararlı yazılımın Discord webhooks gibi geçerli hizmetlere dayanan bir komut ve kontrol (C2) altyapısı aracılığıyla dağıtıldığını söylüyor, bu da onu tespit etmeyi zorlaştırıyor.

Araştırma, bu tür saldırıları önlemek için mühendislik iş istasyonlarını güvence altına almanın önemini vurguluyor. Tavsiyeler arasında yazılımı düzenli olarak güncellemek, sağlam bir uç nokta koruması uygulamak ve kritik sistemlere erişimi sınırlamak için ağları segmente etmek bulunuyor.

Bu saldırıların artan karmaşıklığı, yaratıcı AI araçlarının mevcudiyetiyle desteklenerek, OT sektöründe önceden tedbirli güvenlik önlemlerinin gerekliliğini vurgulamaktadır.

Forescout tarafından yapılan araştırma, mühendislik süreçlerini hedefleyen zararlı yazılımların daha erişilebilir hale gelmesiyle, daha az yetenekli ve daha gelişmiş saldırganlar arasındaki çizginin giderek bulanıklaşacağı konusunda da uyarıyor, bu da basit ve son derece karmaşık tehditler arasındaki ayrımı yapmayı zorlaştırıyor.