Biznet BilişimBiznet Bilişim

DragonFly ve Türkiye Enerji Tesislerine Olası Etkileri

Yazar: Can Demirel

6 Eylül 2017 tarihi itibarıyle DragonFly 2.0 ile enerji sektörüne özelleşmiş siber saldırılar tekrar gündeme geldi. Her ne kadar enerji sektörü özelinde siber saldırlar yeni yeni gündemi meşgul etse de yakın geçmişe baktığımızda çok ciddi sonuçlar doğuran siber saldırılara hep birlikte şahit olduk.

Bunlardan en göze çarpanının Ukrayna enerji altyapılarına düzenlenen saldırılar olduğunu söylemek yanlış olmayacaktır. 2015 ve 2016 yıllarında Ukrayna’da gerçekleşen siber saldırılar sonucu yüzbinlerce insanın belirli süre elektriksiz kaldığı belirtiliyor. Ek olarak geçtiğimiz aylarda Avrupa’da enerji altyapılarının saldırılara maruz kaldığı, Amerika’da bazı nükleer tesislerin de saldırılara hedef olduğuna ilişkin haberler de gündemi bir süre meşgul etti. “Blackout” olarak adlandırdığımız, bir bölgenin veya yüksek sayıda insanın/altyapının elektriksiz kalması durumunun siber saldırılar sonucu da ortaya çıkabileceği, yüzleşmek zorunda olduğumuz bir gerçek.

Saldırganlar Neden Enerji Sektörünü Hedef Alır 

Saldırgan grupların enerji sektöründe genellikle elektrik altyapılarını hedef aldığı görülüyor. Kritik altyapılar içerisinde elektrik enerjisinin çok hayati bir rolü bulunuyor. Elektrik enerjisi olmadan diğer kritik altyapıların güvenliğinden söz etmek imkansız hale geliyor. Güvenlik perspektifi dışından baktığımızda, üretim altyapılarının durması, ulaşım altyapılarının devre dışı kalması, iletişim sistemlerin çalışamaz hale gelmesi ülke ekonomisine ciddi zarar verebilir. Bu kritik durumun farkına varan ülkelerin, çeşitli önlemleri devreye aldığını görüyoruz. Amerika Birleşik Devletleri ve Avrupa Birliği’nde Elektrik Enerjisine yönelik siber güvenlik bilgi paylaşım mekanizmaları devreye alındı. Son dönemde Uzakdoğu’da da bu konunun gündemde olduğu biliniyor. Biznet Bilişim A.Ş. olarak her üç kıtadaki ilgili kurumlar ve konu uzmanları ile oluşturduğumuz ağ sayesinde, gelişmeleri yakından takip ediyoruz. Jeopolitik konumu gereği doğal bir enerji koridoru olan ülkemizin enerji altyapılarının siber saldırılara hedef olması şaşırtıcı değil. “Nation level” olarak adlandırılan devletler seviyesi saldırılar veya doğrudan saldırganların düzenleyeceği saldırılar önlem almamız zorunda olduğumuz tehdit vektörleri arasında bulunuyor.

DragonFly, DragonFly 2.0 ve Türkiye

 DragonFly Symantec firmasının 6 Eylül tarihinde yayımladığı rapor ile tekrar gündeme geldi. DragonFly en yalın anlatımla, bir hacker grubuna verilen isimdir (Farklı üreticilerin Energetic Bear olarak adlandırdığı da görülüyor). Konuyla ilgili raporlar incelendiğinde, 2010 yılından beri var olan grubun aktivitelerinin inişli çıkışlı olduğu görülüyor. 2010-2014 yılları arasında Amerika ve Avrupa’da enerji sektörüne yönelik saldırılara bakıldığında, bazı saldırıların bu grupla ilişkilendirilebileceğine dair güçlü deliller bulunuyor. Bu bilgiler neticesinde 2014 yılında Dragonfly’ı ilk kez duymuş olduk. 6 Eylül tarihli rapor ile grubun çalışmalarını durdurmadığı ve şu anda aktif olduğu bilgisine ulaşılıyor. Özellikle 2015 yılının sonundan itibaren yeni saldırı vektörleri kullanarak saldırılara devam ettiği raporlanıyor. Bu ikinci evre de DragonFly 2.0 olarak adlandırılıyor.

DragonFly 1.0’a Genel Bakış

2010-2014 yılları arasındaki saldırılar incelendiğinde Amerika özelinde sırasıyla havacılık, savunma sanayi ve son olarak 2013 yılı itibarıyla da enerji tesislerinin hedef alındığını görüyoruz. Şubat 2013 tarihinde Symantec firması belirli kuruluşlardan bilgi sızdırma odaklı bir spear-phishing saldırısının varlığını keşfettiğini bildiriyor. İlgili saldırının Haziran ayına kadar sürdüğü ve özel olarak hedef seçilmiş kişileri içeren planlı saldırılar gerçekleştirildiği raporlanıyor. Bununla birlikte “watering hole” olarak adlandırılan saldırılar da düzenlendiği belirtiliyor. Bu saldırı türünde, hedef seçilen kurum ve çalışanlarının ziyaret etmesi muhtemel web sayfaları üzerinden hedef sistemlere zararlı yazılım bulaştırılmasını amaçlanır. Öte yandan, yine aynı grubun, doğrudan Endüstriyel Kontrol Sistemi (EKS) üreticilerine saldırı düzenleyerek, hedef kurum tarafından indirilmesi muhtemelen yazılımlara zararlı yazılım bulaştırdığı ve bu yolla hedef kuruma ulaşmayı denediği bilgisi de mevcut. Bu anlamda saldırının üç ana fazda gerçekleştirildiğini söylemek mümkün;

  1. Spear-phishing aşaması
  2. Watering hole tekniği ile zararlı yazılım bulaştırma aşaması
  3. Üreticilerden üzerinden zararlı yazılım bulaştırma aşaması

Bu üç aşama sonrası temel amacın, iç ağa sızmak, sızılan bileşenlerin uzaktan kontrolünü sağlamak ve iç ağ üzerinden bilgi sızdırmak olduğu aşikar. Saldırı sırasında kullanılan zararlı yazılımlar incelendiğinde (Örn:Havex) temel felsefenin espiyonaj olduğu görülmektedir. Sisteme ilk olarak EKS harici bir ağdan sızılmış olması -kapalı devre tasarım ilkesi gereği- bir hayli muhtemel. Bu sebeple OPC (Ole for Process Control) gibi farklı kontrol ağlarına ilişkin verilerin paylaşım noktası olan bileşenlerin hedef alındığı ve bu bileşenler üzerinden kontrol ağlarına ilişkin veriler toplandığı, HMI (Human Machine Interface) bileşenleri üzerinden ekran görüntüleri alındığı raporlanmaktadır. Bu durum, temel amacın kontrol ağına ilişkin bilgi toplamak olduğunu işaret etmektedir. Toplanan bu bilgilerin daha sonra daha karmaşık bir saldırıda kullanılıp kullanılmayacağı ise incelenmesi ve takip edilmesi gereken bir konu olarak karşımıza çıkmaktadır. Çünkü zararlı yazılımın cihazlar üzerine herhangi bir aktif saldırı gerçekleştirmediği tespit edilmiştir.

Tüm bu bilgiler ışığında raporu hazırlayan güvenlik firmasının 2014 yılındaki veriler ışığında yayımladığı DragonFly 1.0  raporuna göre, etkilenen ülkeler arasında; %27 ile İspanya, %24 ile Amerika Birleşik Devletleri, %6 ile Türkiye yer almaktadır.

DragonFly 2.0’a Genel Bakış

Dragon 2.0’a ilişkin güncel raporda üç ülke göze çarpmaktadır: Türkiye, Amerika Birleşik Devleri ve İsviçre. raporda henüz üklerin ne kadar etkilendiğine dair oranlar bulunmuyor, fakat ülkemizin ilk saldırı dalgasına oranla daha fazla saldırıya maruz kaldığı dile getiriliyor. Öte yandan, iki saldırı dalgasının da aynı grup tarafından yapıldığına dair kuvvetli şüphe olduğu, bu kuvvetli şüphenin de nesnel dayanakları olduğu görülüyor. Her iki saldırı zincirinde de blackmarket’te bulunmayan zararlı yazılım kullanılması en önemli delillerden biri olarak gösteriliyor. İlgili firma raporunda, DragonFly 2.0’ın sadece bilgi sızdırma ve kontrol ağına ilişkin veri toplamakla kalmayıp, sabotaj riski taşıdığı ve operasyonel ortama zarar vermesinin ihtimal dahilinde olduğu bildiriliyor.

Sonuç

Her ne kadar DragonFly’ın kritik altyapılara sabotaj ve zarar verme ihtimalinin altı çizilse de, şu ana kadar  herhangi bir enerji tesisinin DragonFly sebebiyle devre dışı kaldığına ilişkin bir bildirim bulunmuyor. Bu durum, elbette ki kesin olarak bir olay yaşanmadığı anlamı taşımasa da yine de önemli bir gösterge olarak değerlendirilebilir.

Tüm bu bilgiler ışığında, DragonFly’ın tek başına doğrudan blackout derecesinde kesintilere sebep olacağını söylemek tam anlamı ile doğru olmayacaktır. Kontrol ağına sızılabilir olmasının, o tesisin her zaman tümden devre dışı bırakılacağı anlamını da taşımadığı, arka planda atlatılması gereken farklı koruma mekanizmalarının da bulunduğu unutulmamalıdır. Ancak söz konusu koruma mekanizmalarının devrede olmadığı durumlar bu olabilir. Kritik altyapı işletmecileri, güvenlik analizi ve sızma testi çalışmaları yaparak, bu türden gerçek dünya senaryolarını simüle edip, bilinen ve bilinmeyen saldırı vektörlerine karşı ne derece güvenli olduklarını belirlemelidir. Risk analizleri, EKS özelinde güvenlik bilinci ile gerçekleştirilmeli, tüm savunma mekanizmaları, tehditler, atak vektörleri, açıklıklar iyi analiz edilmelidir. Oluşturulan güvenlik mekanizmalarının da devre dışı bırakabileceği unutulmamalı, bu sebeple kritik altyapılarda sürekli izleme altyapıları oluşturulmalı ve gerekli insan kaynağı yetiştirilmelidir.

EKS altyapılarında temel güvenlik stratejileri için bu yazımızı inceleyebilirsiniz. Tek bir saldırı vektörü ile tüm ülke enerji altyapısının devre dışı bırakılmasının neden zor olduğuna dair 16 mayıs 2016 tarihli bu yazımız da ilginizi çekebilir.

Kaynaklar

https://www.sans.org/reading-room/whitepapers/ICS/impact-dragonfly-malware-industrial-control-systems-36672

https://www.symantec.com/connect/blogs/dragonfly-western-energy-sector-targeted-sophisticated-attack-group

Siber güvenlik dünyasında öne çıkan haberler, etkinlikler ve daha çok blog yazısı için Biznet Bilişim’i sosyal medyada takip edin. LinkedIn, Facebook, Google+ ve Twitter’da sizleri bekliyoruz.

 

can.demirel
Yazar: can.demirel