İran Avrupa Enerji Şirketini Hack Etme Şüphelendi | VPNoverview.com

İran merkezli devlet destekli bir saldırı grubunun bir Avrupa Enerji şirketini hacklediğinden şüpheleniliyor. Grubun saldırılarında PupyRAT adlı bir Uzaktan Erişim Truva atı (RAT) kullandığına inanılıyor.


PupyRAT nedir

Pupy, esas olarak python ile yazılmış ve saldırganların kurbanların sistemlerine tam erişim sağlayabilen açık kaynaklı bir RAT. Platformlar arası bir kötü amaçlı yazılım parçasıdır ve bu nedenle Windows, Linux, OSX ve Android gibi birden çok platforma sızabilir..

Uzaktan Erişim Truva Atı (RAT), bilgisayar korsanlarının kurbanın bilgisayarını veya ağını izlemesini ve denetlemesini sağlayan kötü amaçlı yazılımdır. Bilgisayar sorunları olan müşterilere yardımcı olmak için teknik destek tarafından sıklıkla kullanılan meşru uzaktan erişim programları gibi çalışır.

PupyRAT açık kaynaklı bir kötü amaçlı yazılım parçası olmasına rağmen, esas olarak İran devlet destekli hack kampanyalarıyla bağlantılıdır. Özellikle APT 33 devlet destekli bilgisayar korsanlığı grubuyla ilişkilidir. APT 33, dünya çapında enerji sektöründeki organizasyona yapılan geçmiş saldırılara katıldı.

RAT Nasıl Dağıtıldı?

RAT’lar yalnızca daha önce güvenliği ihlal edilmiş sistemlere dağıtılabilir. Bu örnekte, araştırmacılar PupyRAT’ın nasıl konuşlandırıldığını bilmiyorlar, ancak mızrak kimlik avı saldırıları yoluyla dağıtıldığına inanıyorlar.

Mızrak kimlik avı saldırıları, normal kimlik avı saldırılarında olduğu gibi çok sayıda alıcı yerine tek bir alıcıya yöneliktir. Siber suçlular bir kuruluş içinde bir hedef seçer ve potansiyel kurbanları hakkında daha fazla bilgi edinmek için sosyal medyayı ve diğer kamusal bilgileri kullanır. Daha sonra o kişi için uyarlanmış sahte bir e-posta hazırlarlar.

Önceki APT 33 kampanyaları, saldırganların potansiyel bir kurbanı seçmelerini ve sonunda e-posta yoluyla kötü niyetli bir belge göndermeden önce güvenlerini kazanmalarını içeriyordu. Sonuç olarak, araştırmacılar bu durumda aynı dağıtım yönteminin kullanıldığına inanıyor.

Enerji Şirketi’ne Saldırının Kanıtı

Recorded Future’in Insikt Group dün, Kasım 2019’un sonundan 5 Ocak 2020’ye kadar bir posta sunucusuyla sohbet eden bir PupyRAT Komuta ve Kontrol (C2) sunucusunun kanıtı bulduğunu bildirdi.

Insikt Group’un raporu şöyle devam ediyor: “Meta veriler tek başına bir uzlaşmayı doğrulamasa da, hedeflenen posta sunucusundan bir PupyRAT C2’ye yapılan yüksek hacimli ve tekrarlanan iletişimin olası bir saldırıyı belirtmek için yeterli olduğunu değerlendiriyoruz.”

Posta sunucusu, Avrupa’da Enerji kaynaklarının tahsisini ve kaynak tahsisini koordine eden bir Avrupa enerji sektörü kuruluşuna aitti. Örgütün rolü göz önüne alındığında, bu saldırı özellikle enerji sektörü ICS yazılımına İran bağlantılı saldırıların artması göz önüne alındığında özellikle ilgi çekicidir..

CyberX’teki Endüstriyel Siber Güvenlik Başkan Yardımcısı Phil Neray şunları söyledi: “Avrupa enerji altyapısındaki sınır ötesi bağımlılıklar göz önüne alındığında, bu, rakiplerin birden fazla ülkeyi etkilemek için merkezi bir hedefe odaklanmak için stratejik bir hamle gibi görünüyor. Aynı zamanda, Rus tehdit aktörlerinin 2015 saldırılarına kıyasla 2016 Ukrayna ızgara saldırısında yaptığı gibi, birden fazla uzak trafo merkezine değil, tek bir merkezi iletim istasyonuna saldırmanın stratejik değerine benzer. ”

Saldırganların Amaçları

Araştırmacılar, Enerji sektöründeki Avrupalı ​​şirketlere yönelik bu son hackleme kampanyasının bir keşif görevi olduğuna inanıyor. Misyonun, enerji santrallerinin süreçleri ve Endüstriyel Kontrol Sistemleri (ICS) hakkında önemli bilgileri toplamayı amaçladığına inanılıyor. Saldırganlar ayrıca şirketlerin süreçlerindeki ve kritik altyapısındaki zayıflıkları tespit etmeye çalışıyor.

Recorded Future’daki stratejik tehdit geliştirme direktörü Priscilla Moriuchi şunları açıklıyor: “Operasyonların veya yıkıcı saldırıların etkinleştirilmesi, bu tür aylarca süren keşif ve bu şirketlerin yetkililerinin davranışları hakkında bilgi ve belirli bir yeteneğin bilgi veya enerji dağıtımını nasıl etkileyebileceğini anlama kaynaklar.”

Bu hacker gruplarına sponsor olduğundan şüphelenilen İran gibi ülkeler için bu tür bilgiler, çatışma durumlarında düşmanlara karşı kullanılabilir. Bilgi, bir rakibin güç, su ve ulaşım gibi kilit sektörlerini felç etmek için siber saldırı başlatmak için kullanılabilir.

Bunu akılda tutarak, hackleme kampanyasının tarihlerini not etmek ilginçtir. Bunlar, hackleme kampanyasının İran General Qassem Soleimani’nin öldürülmesinden kaynaklanan jeopolitik gerilimden önce başladığını gösteriyor. Sonuç olarak, bu siber saldırı Soleimani’nin suikastı için misilleme amaçlı bir saldırı olamazdı.

Önceki Kritik Altyapı Saldırıları

ICS sistemlerine ve kritik altyapıya yönelik saldırılar son yıllarda artmaktadır. Bunun nedeni nispeten kolay hedefler olmalarıdır.

ICS sistemleri ve demiryolları ve enerji santralleri gibi kritik altyapı ile ilgili temel sorun, çoğunun siber güvenlik göz önüne alınmadan inşa edilmesidir. Bunların çoğunda güvenlik sistemi yoktu ve bazı ICS sistemleri hala mevcut değil. Daha sonra güvenlik sistemleriyle donatıldıklarında, deliklerin nerede bırakıldığını bilmek her zaman kolay değildir. Aslında, çoğu ICS sistemi güvenlik açıklarıyla doludur.

Kritik altyapıya yönelik en ünlü saldırı 2012 yılında Stuxnet kötü amaçlı yazılımı kullanılarak gerçekleştirilmiştir. Stuxnet, özellikle Programlanabilir Mantık Denetleyicileri (PLC’ler) hedefleyen bir bilgisayar solucanıdır. Bunlar, endüstriyel proseslerin ve makinelerin kontrol edilmesi için proseslerin otomasyonunu sağlar.

Araştırmacılar, Stuxnet’in Amerikan ve İsrail istihbaratı tarafından geliştirildiğine ve bir İran nükleer rafinerisine saldırmak için kullanıldığına inanıyor. Hem istihbarat topladı hem de uranyumu zenginleştirmek için kullanılan binlerce santrifüjü yok etti.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map