Toplu casus yazılım kampanyası, endüstriyel kontrol sistemlerini hedefliyor

- Kaspersky Güvenlik Uzmanı Vyacheslav Kopeytsev:- "Bu oldukça sıra dışı bir kampanya ve elimizdeki çeşitli bilgileri hala bir araya getiriyoruz. Güvenlik topluluğunu yeni bulgulardan haberdar ederek araştırmalarımızı sürdüreceğiz"

EKONOMİ 03.01.2022, 11:07
Toplu casus yazılım kampanyası, endüstriyel kontrol sistemlerini hedefliyor

İSTANBUL (AA) - Kaspersky uzmanları, 195 ülkede 35 binden fazla bilgisayarı hedef alan yeni bir kötü amaçlı yazılımı temel alan kampanyayı ortaya çıkardı.

Kaspersky açıklamasına göre, gelişmiş kalıcı tehdit (APT) grubu Lazarus'un Manuscrypt kötü amaçlı yazılımıyla benzerlikleri nedeniyle "PseudoManuscrypt" olarak adlandırılan bu yeni yazılım, gelişmiş casusluk yetenekleri içeriyor ve çok sayıda endüstride hem devlet kuruluşlarını hem de endüstriyel kontrol sistemlerini (ICS) hedef alıyor.

Endüstriyel kuruluşlar; hem finansal kazanç hem de istihbarat toplama açısından siber suçlular için hedeflerin başında geliyor. 2021 yılı Lazarus ve APT41 gibi tanınmış APT gruplarının endüstriyel kuruluşlara saldırdığına sahne oldu. Kaspersky uzmanları başka bir saldırı dizisini araştırırken, grubun savunma endüstrisine karşı ThreatNeedle kampanyasında kullandığı özel kötü amaçlı yazılım olan ve Lazarus'un "Manuscrypt"i ile bazı benzerliklere sahip yeni bir kötü amaçlı yazılım parçasını ortaya çıkardı.

20 Ocak ila 10 Kasım 2021 tarihleri arasında Kaspersky ürünleri, 195 ülkede 35 binden fazla bilgisayarda PseudoManuscrypt'i engelledi. Hedeflerin çoğu, askeri-endüstriyel işletmeler ve araştırma laboratuvarları dahil olmak üzere sanayi ve devlet kuruluşlarıydı. Saldırıya uğrayan bilgisayarların yüzde 7,2'si endüstriyel kontrol sistemlerinin (ICS) bir parçasıydı. Mühendislik ve bina otomasyonu en çok etkilenen bölümleri temsil ediyordu.

PseudoManuscrypt, başlangıçta bazıları ICS'ye özel sahte korsan yazılım yükleyici arşivleri aracılığıyla hedeflenen sisteme indiriliyor. Bu sahte yükleyicilerin Hizmet Olarak Kötü Amaçlı Yazılım (MaaS) platformu aracılığıyla sunulması muhtemel. Bazı durumlarda PseudoManuscrypt, Glupteba botnet aracılığıyla kuruluyor. İlk bulaşmadan sonra ana kötü amaçlı modülü indiren karmaşık bir enfeksiyon zinciri başlatılıyor. Kaspersky uzmanları, bu modülün iki çeşidini belirledi. Her ikisi de tuş vuruşlarını günlüğe kaydetme, panodan veri kopyalama, VPN (ve potansiyel olarak RDP) kimlik doğrulama bilgilerini ve bağlantı verilerini çalma, ekran görüntülerini kopyalama dahil olmak üzere gelişmiş casusluk yeteneklerine sahip.

Saldırılar belirli endüstrilere dair bir tercih göstermiyor. Ancak saldırıya uğrayan çok sayıda mühendislik bilgisayarı, 3D, fiziksel modelleme ve dijital ikizler için kullanılan sistemler de dahil olmak üzere, endüstriyel casusluğun tek bir hedef olabileceğini gösteriyor.

Kurbanlardan bazıları, ICS CERT'nin daha önce bildirdiği Lazarus kampanyasının kurbanlarıyla bağlantılı görünüyor. Veriler, daha önce sadece APT41'in kötü amaçlı yazılımıyla kullanılan bir kitaplık yardımıyla nadir bir protokol üzerinden saldırganların sunucusuna gönderiliyor. Bununla birlikte çok sayıda kurbanı ve odak eksikliğini göz önüne alarak Kaspersky, kampanyayı Lazarus veya bilinen herhangi bir APT tehdit aktörüyle ilişkilendirmiyor.

- "Tüm sunuculara ve iş istasyonlarına uç nokta koruma yazılımı yükleyin"

Açıklamada görüşlerine yer verilen Kaspersky Güvenlik Uzmanı Vyacheslav Kopeytsev, "Bu oldukça sıra dışı bir kampanya ve elimizdeki çeşitli bilgileri hala bir araya getiriyoruz. Ancak açık bir gerçek var. Bu, uzmanların dikkat etmesi gereken bir tehdit ve birçok yüksek profilli kuruluş da dahil olmak üzere binlerce ICS bilgisayarına girmeyi başardı. Güvenlik topluluğunu yeni bulgulardan haberdar ederek araştırmalarımızı sürdüreceğiz." ifadelerini kullandı.

Kaspersky uzmanları, PseudoManuscrypt'ten korunmak için kuruluşlara şunları tavsiye ediyor:

"Tüm sunuculara ve iş istasyonlarına uç nokta koruma yazılımı yükleyin. Tüm uç nokta koruma bileşenlerinin sistemlerde etkinleştirildiğini ve birinin yazılımı devre dışı bırakmaya çalışması durumunda yönetici parolasının girilmesini gerektiren ilkelerin yürürlükte olduğunu kontrol edin. Active Directory ilkelerinin, kullanıcıların sistemlerde oturum açma girişimlerine ilişkin kısıtlamalar içerdiğini kontrol edin. Kullanıcıların yalnızca işlerine dair sorumlulukları yerine getirmek için erişmeleri gereken sistemlere giriş yapmalarına izin verilmelidir. OT ağındaki sistemler arasında VPN dahil ağ bağlantılarını kısıtlayın. Operasyonların sürekliliği ve güvenliği için gerekli olmayan tüm bağlantı noktalarındaki bağlantıları bloke edin. Bir VPN bağlantısı kurarken ikinci kimlik doğrulama faktörü olarak akıllı kartlar (belirteçler) veya tek seferlik kodlar kullanın. Bunun uygulanabilir olduğu durumlarda, bir VPN bağlantısının başlatılabileceği IP adresleri listesini kısıtlamak için Erişim Kontrol Listesi (ACL) teknolojisini kullanabilirsiniz.

Kuruluş çalışanlarını internet, e-posta ve diğer iletişim kanallarıyla güvenli bir şekilde çalışma konusunda eğitin. Özellikle doğrulanmamış kaynaklardan dosya indirmenin ve yürütmenin olası sonuçlarını açıklayın. Yerel yönetici ve etki alanı yöneticisi ayrıcalıklarına sahip hesapları yalnızca iş sorumluluklarını yerine getirmek için gerekli olduğunda kullanın. Yüksek düzeyde bilgi ve güvenlik uzmanlarının uzmanlığına hızla erişebilmek için Yönetilen Tehdit Algılama ve Yanıt hizmetlerini kullanmayı düşünün. Atölyeleriniz için özel koruma kullanın. Kaspersky Industrial CyberSecurity, endüstriyel uç noktaları korur ve kötü niyetli etkinlikleri belirlemek ve engellemek için OT ağını izlemesini sağlar."

Yorumlar (0)
7
parçalı bulutlu
Namaz Vakti 23 Ocak 2022
İmsak
Güneş
Öğle
İkindi
Akşam
Yatsı
Puan Durumu
Takımlar O P
1. Trabzonspor 22 51
2. Konyaspor 21 42
3. Adana Demirspor 23 37
4. Fenerbahçe 23 37
5. Beşiktaş 23 36
6. Alanyaspor 22 35
7. Hatayspor 22 35
8. Başakşehir 22 34
9. Sivasspor 23 31
10. Kayserispor 22 31
11. Gaziantep FK 21 31
12. Karagümrük 23 30
13. Göztepe 23 27
14. Galatasaray 22 27
15. Giresunspor 22 26
16. Kasımpaşa 22 24
17. Antalyaspor 22 23
18. Rizespor 22 21
19. Altay 22 18
20. Ö.K Yeni Malatya 22 16
Takımlar O P
1. Ümraniye 21 45
2. Ankaragücü 21 45
3. Erzurumspor 20 38
4. İstanbulspor 21 36
5. Eyüpspor 20 36
6. Bandırmaspor 20 33
7. Samsunspor 20 33
8. Adanaspor 20 32
9. Manisa Futbol Kulübü 21 28
10. Tuzlaspor 20 27
11. Gençlerbirliği 21 26
12. Boluspor 19 24
13. Kocaelispor 21 24
14. Keçiörengücü 20 23
15. Menemen Belediyespor 21 23
16. Altınordu 21 22
17. Bursaspor 20 20
18. Denizlispor 21 19
19. Balıkesirspor 20 8
Takımlar O P
1. Manchester City 23 57
2. Liverpool 21 45
3. Chelsea 23 44
4. M. United 22 38
5. West Ham United 23 37
6. Tottenham 19 36
7. Arsenal 20 35
8. Wolverhampton Wanderers 21 34
9. Brighton 21 29
10. Aston Villa 21 26
11. Leicester City 19 25
12. Southampton 22 25
13. Crystal Palace 21 24
14. Brentford 23 23
15. Leeds United 21 22
16. Everton 20 19
17. Norwich City 22 16
18. Newcastle 21 15
19. Watford 20 14
20. Burnley 17 11
Takımlar O P
1. Real Madrid 21 49
2. Sevilla 22 46
3. Real Betis 22 40
4. Atletico Madrid 21 36
5. Real Sociedad 20 33
6. Villarreal 22 32
7. Barcelona 20 32
8. Rayo Vallecano 20 31
9. Valencia 22 29
10. Athletic Bilbao 21 28
11. Celta Vigo 22 27
12. Espanyol 22 27
13. Osasuna 21 25
14. Granada 21 24
15. Elche 21 22
16. Getafe 21 21
17. Mallorca 21 20
18. Cadiz 22 18
19. Deportivo Alaves 21 17
20. Levante 21 11