Güvenlik araştırmacıları, kritik altyapı sistemlerini ve elektrik şebekelerini bozmak için kullanılabileceğini söyledikleri “CosmicEnergy” adlı yeni bir endüstriyel kontrol sistemi kötü amaçlı yazılımı keşfettiler.
Kötü amaçlı yazılım, CosmicEnergy’nin yeteneklerini Rus devlet destekli “Sandworm” bilgisayar korsanlığı grubunun kullandığı yıkıcı Industroyer kötü amaçlı yazılımına benzeten Mandiant’taki araştırmacılar tarafından ortaya çıkarıldı. 2016’da Ukrayna’da elektrik kesintisi.
Alışılmadık bir şekilde Mandiant, CosmicEnergy’yi kritik altyapıya yönelik bir siber saldırıyı takip etmeden tehdit avcılığı yoluyla ortaya çıkardığını söylüyor. Mandiant’a göre kötü amaçlı yazılım, Google’a ait bir kötü amaçlı yazılım ve virüs tarayıcısı olan VirusTotal’a Aralık 2021’de Rusya merkezli bir gönderici tarafından yüklendi. Siber güvenlik şirketinin analizi, kötü amaçlı yazılımın, Rusya’nın ulusal telekom operatörü Rostelecom’un siber güvenlik kolu olan Rostelecom-Solar tarafından, barındırılanlar gibi tatbikatları desteklemek için geliştirilmiş olabileceğini gösteriyor. Rusya Enerji Bakanlığı ile işbirliği içinde 2021’de.
Mandiant, “Bir müteahhit, Rostelecom-Solar’ın ev sahipliği yaptığı simüle edilmiş güç kesintisi tatbikatları için kırmızı bir takım oluşturma aracı olarak geliştirmiş olabilir” dedi. “Ancak, kesin kanıt eksikliği göz önüne alındığında, farklı bir aktörün – izinli veya izinsiz – bu kötü amaçlı yazılımı geliştirmek için siber alanla ilişkili kodu yeniden kullanmasının da mümkün olduğunu düşünüyoruz.”
Mandiant, bilgisayar korsanlarının gerçek dünya saldırılarını kolaylaştırmak için yalnızca kırmızı ekip araçlarını düzenli olarak uyarlayıp kullanmadığını, aynı zamanda CosmicEnergy analizinin, kötü amaçlı yazılımın işlevselliğinin endüstriyel kontrol sistemlerini (ICS) hedef alan diğer kötü amaçlı yazılım varyantlarınınkiyle karşılaştırılabilir olduğunu ortaya koyduğunu söylüyor. Industroyer gibi, bu nedenle “etkilenen elektrik şebekesi varlıkları için makul bir tehdit” oluşturuyor.
Mandiant, TechCrunch’a vahşi ortamda herhangi bir CosmicEnergy saldırısı gözlemlemediğini söyler ve kötü amaçlı yazılımın keşif yeteneklerinden yoksun olduğunu belirtir; bu, bilgisayar korsanlarının bir saldırı başlatmadan önce IP adresleri ve kimlik bilgileri gibi ortam bilgilerini elde etmek için bazı dahili keşifler yapması gerektiği anlamına gelir.
Ancak araştırmacılar, kötü amaçlı yazılımın endüstriyel ortamlarda yaygın olarak kullanılan bir ağ protokolü olan ve 2016 yılında Ukrayna’nın elektrik şebekesine yapılan saldırı sırasında da hedef alınan IEC-104’ü hedef alması nedeniyle CosmicEnergy’nin elektrik iletimi ve dağıtımıyla ilgili kuruluşlar için gerçek bir tehdit oluşturduğunu ekledi.
“Yeni OT’nin keşfi [operational technology] Mandiant araştırmacıları, bu tür keşiflerin nadir olması ve esas olarak OT ortamlarının güvenli olmayan tasarım özelliklerinden yararlanması nedeniyle, kötü amaçlı yazılımların etkilenen kuruluşlar için acil bir tehdit oluşturduğunu belirtiyor.
Mandiant’ın yeni ICS odaklı kötü amaçlı yazılım keşfi, Microsoft’un bu hafta Çin devlet destekli bilgisayar korsanlarının Amerika’nın kritik altyapısını hacklediğini açıklamasının ardından geldi. Buna göre raporMicrosoft’un “Volt Typhoon” olarak adlandırdığı bir casusluk grubu, ABD’nin Guam adası bölgesini hedef aldı ve “gelecekteki krizler sırasında Amerika Birleşik Devletleri ile Asya bölgesi arasındaki kritik iletişim altyapısını bozmaya” çalışıyor olabilir.
Raporun ışığında ABD hükümeti, potansiyel ihlalleri belirlemek için Five Eyes ortaklarıyla birlikte çalıştığını söyledi. Microsoft, grubun iletişim, üretim, hizmet, ulaşım, inşaat, denizcilik, hükümet, bilgi teknolojisi ve eğitim sektörlerindeki kuruluşlara erişmeye çalıştığını söylüyor.
kim kimdir ne zaman nasıl nelerdir nedir ne işe yarar tüm bilgiler
dünyadan ilginç ve değişik haberler en garip haberler burada