Ana Sayfa Uzman Teknoloji Makaleleri Endüstriyel Sistemlere Yapılan Sanal Saldırıların İçyüzü

Endüstriyel Sistemlere Yapılan Sanal Saldırıların İçyüzü

Paylaş
Derya Aksoy
Derya Aksoy

Fortinet Bölge Satış Direktörü

SCADA sistemlerine yönelik tehditler ne zamandan beri var? Siber suçlular, endüstriyel sistemleri hedeflerken hangi araçları kullanıyor? Bu saldırılar, işletmeleri ve sistemleri nasıl etkiliyor?

İran’a karşı 2010 yılında Stuxnet virüsü ile yapılan sanal saldırı SCADA (Veri Tabanlı Kontrol ve Gözetleme Sistemi) olarak bilinen endüstriyel sistemlerin açıklarını gündeme getirmişti. SCADA, fiziksel donanımları kontrol eden sistemleri tanımlamakta kullanılan bir terim. Bu sistemler enerji santrallerindeki türbinler, petrol ve gaz boru hatları; havalimanlarındaki metal detektörler;  hatta ısıtma, havalandırma ve enerji tüketimi gibi faaliyetlerin kontrol ve denetimini yapan tesisler gibi birçok endüstriyel uygulamada kullanılıyor. Bu tip sistemlere yönelik bir saldırının genellikle ciddi zararlara yol açması SCADA sistemlerini hackerlar için oldukça çekici hedefler haline getiriyor.

Fortinet’in FortiGuard Labs laboratuvarlarında araştırmacı olarak görev yapan Ruchna Nigam’a göre, geçmişte yaşadığımız Çernobil felaketi gibi vakalar, yapısal bir problem haricinde, bu tür siber saldırılar sonucunda da gerçekleştirilebilir. Örnekler, bu olasılığı oldukça güçlendiriyor.

Siber saldırıların yakın geçmişe kadar zararları her zaman veri sızdırmak veya sistemleri çalışmaz hale getirerek hizmet kesintisi yaratmak olarak bilinirdi. Ancak İran nükleer santrallerini yöneten SCADA sistemlerindeki bir sıfır gün zafiyetini hedef alan Stuxnet, artık bir siber saldırının insan hayatına etki edecek boyutlara ulaşabileceğini kanıtladı.

Bir başka örnek ise Türkiye’den… Geçtiğimiz aylarda yaşanan büyük elektrik kesintisini ele alalım. Her ne kadar siber saldırı sonucunda oluşmamış olsa da, enerji sektöründe neredeyse her yapıda kullanılan SCADA sistemlerini hedef alacak bir siber saldırı aynı veya belki daha da büyük bir etki yaratabilecektir. Elektriğin bir tam gün boyunca kesik olmasının bile ciddi etkileri olacağını düşünürsek, bir hafta gibi uzun bir sürede bunun şehir ya da ülke genelinde yaşanması, insan hayatını kesinlikle tehdit edecektir.

Peki ya sağlık sektörü? SCADA altyapısının oldukça yoğun kullanıldığı bir alan olan sağlık sektörüne benzer bir saldırı gerçekleştiği takdirde sonuçlarının çok ağır olacağını hayal etmemiz zor olmasa gerek.

SCADA sistemlerini yerle bir edebilen solucan ve virüsler

Ne yazık ki Stuxnet virüsü ile yapılan saldırının boyutu, endüstriyel alanda faaliyet gösteren şirketlerin bu sistemlere yönelik siber saldırıların potansiyel yıkıcı etkilerine ancak dikkatlerini çekebildi. Bilgisayarlara karşı yapılan geleneksel saldırılarda genellikle maddi hasar ortaya çıkmazken Stuxnet, gelişmiş solucan ve virüslerin yalnızca şirket verilerine karşı değil, ayrıca su kontrol sistemlerine, kimyasal madde üretimine ve enerji altyapısına karşı yıkıcı kapasiteye sahip olduğunu ortaya koydu.

Ancak Stuxnet, SCADA sistemlerini hedef alan ilk virüs değil. Geçen yıllar içerisinde gerçekleşen, bilinen ciddi SCADA saldırılarını üç ana kategoriye ayırabiliriz:

1- Teyit edilemeyen saldırılar

1982:  SCADA sistemlerine karşı ilk saldırı 1982 yılının başlarına kadar gidiyor olabilir. Farewell Dossier isimli belgelere göre ABD Merkezi Haber Alma Teşkilatı (CIA), Sovyetler Birliği’ne “bozuk” ürünler ve cihazlar satılması için faaliyetlerde bulundu. Bu ülkeye satılan bir donanımın içerisine bir truva atı yerleştirildi ve bu donanım Truva atı, Trans Sibirya Gaz Boru Hattı’nda patlamaya neden oldu. Ancak hatalı türbinlerin kurulumundan bahsedilmesine karşın bu kazadan hiç söz edilmeyen Farewell Dossier dokümanlarında bu patlama resmi olarak hiçbir zaman teyit edilmedi.

1999: İçeriden bir kişinin de yardımı ile Rus petrol şirketi Gazprom’un boru hattı sistemine yüklenen bir truva atı ile saldırı gerçekleştirildiği yönünde haberler çıktı. Haberlere göre saldırı sonucu gaz akımı birkaç saat boyunca kesintiye uğradı. Ancak bu haberler Gazprom tarafından hiçbir zaman doğrulanmadı.

2- Kasıtsız hedefler

Bazı SCADA sistemlerine saldırılar doğrudan yapılmadı. Başka hedeflere yapılan saldırılar bu sistemlere sıçradı.

2003: ABD’deki Davis-Besse Nükleer Enerji Santrali önce Slammer, daha sonra Sobig isimli solucanların kurbanı oldu. Slammer solucanı servisleri engelleyerek (DoS saldırısı) ağ bağlantısının yavaşlamasına neden olurken, Sobig de e-posta üzerinden spam mailler atıyordu. Fiziksel etki açısından Davis-Besse Nükleer Enerji Santrali’ne bir şey olmadı, ancak Slammer adı açıklanmayan başka bir SCADA ağını çökertmişti. CSX şirketinin merkezinde bir bilgisayar sistemine bulaşan Sobig ise, sinyalizasyon ve diğer sistemleri kapatmış, bunun sonucunda tren seferlerinde gecikmeler yaşanmıştı.

2004: Sasser solucanı arabellek taşması açığını kullanarak savunmasız olan diğer sistemlere yayılmış, bunun sonucunda British Airways, Railcorp ve Delta Airlines gibi ulaştırma şirketleri zarar görmüştü. Ortaya çıkan bazı agresif değişkenler ağ genelinde tıkanmalara neden olmuştu. Fiziksel etki olarak, tren ve uçak seferlerinde rötarlar yaşandı, hatta bazı durumlarda uçak seferleri iptal edildi.

2009: Fransız donanması da Conficker solucanının bir kurbanı oldu. Windows’taki bir açığı kullanan solucan, tahmin edilebilen yönetici şifreleri ile kendisini bilgisayarlara yükledi. Buradan diğer makinalara yayılan solucan kendisini güncelledikten sonra daha fazla zararlı içerik indirip makinalara kurmaya başladı. Fiziksel etki olarak, iniş yapan uçaklara yol gösteren uçuş planları yüklenemedi.

3- Teyit edilen saldırılar

Özellikle SCADA sistemlerinin hedef alındığı saldırılar ise şu şekilde:

2009: Exxon, Shell ve BP gibi petrol, gaz ve petrokimya şirketler, hedef odaklı kimlik avı yöntemini kullanarak yayılan Night Dragon virüsünün saldırısına uğradı. Virüs bulaştığı bilgisayarların, saldırıyı gerçekleştiren hackerlar tarafından uzaktan yönetilmesine imkân veriyordu. Fiziksel etki açısından pek bir şey olmadı. Ancak saldırganların SCADA sistemleri için geliştirilmiş operasyon planlarını çaldığı ve hatta veri topladığı şeklinde haberler yapıldı.

2010: Stuxnet, İran’ın Natanz nükleer tesisinde casusluk yapan ve buradaki endüstriyel sistemleri yeniden programlayan bir solucandı. Solucan verilere müdahale ederek bu verileri birer programlanabilir akıllı kontrolcüye (PLC) çeviriyordu. Fiziksel etki açısından, İran’ın nükleer santrifüjlerinin beşte birini kullanılamaz hale getirdi.

2014:  2014’te iki virüs daha bulundu, ancak bu virüslerin etkilediği kurumlar ile ilgili bir haber ortaya çıkmadı. Havex, bayilerin internet sayfalarına sızarak buradaki SCADA yazılımlarına bulaşmış, ardından bu yazılımların bilgisayarlara indirilmesi ile yayılmıştı. Bu virüs, endüstriyel donanımlardan veri toplayan ve bu verileri komuta-kontrol sunucularına gönderen yerel ağlardaki sunucuları tarıyordu. Burada hackerların motivasyon kaynağı veri hırsızlığı ve casusluk idi. Fiziksel etkisi olmadı.

Aynı yıl karşılaşılan Blacken virüsü ise, mevcut bir botnetin komuta kontrol sunucusunda ortaya çıktı. Bu virüs SCADA yazılımı ve GE Cimplicity kullanıcılarını hedefliyor ve yazılımın ana dizinine çalıştırılabilir kodlar yüklüyordu. Bu kodlardan bazıları uzaktan çalıştırılabilen botlar idi. Virüs ayrıca Cimplicity yazılımın tasarım dosyalarından da yararlanıyordu ancak bu dosyaları ne için kullandığı henüz bilinmiyor. Fiziksel etki açısından henüz bildirilen bir olay yok.

Son olarak önemli noktalardan bir tanesi de Almanya Federal Bilgi Güvenliği Dairesi (BSI)’ne göre 2014 yılında bir Alman çelik fabrikasının bilgisayar ağlarına yapılan saldırı büyük çaplı zarar verdi. Hedef odaklı kimlik avı e-postaları ve karmaşık sosyal mühendislik tekniği kullanan saldırganlar, çelik fabrikasının ağına erişim sağladı. Saldırganlar buradan da üretim ağına sızdı. Haberlere göre bu saldırganlar yalnızca geleneksel BT güvenliğinde uzman birinin sahip olduğu teknik bilgiler dışında Endüstriyel Kontrol Sistemleri (ICS)’nin detaylı teknik bilgilerine ve kullanılan üretim sürecine de hâkimdi. Zararlı yazılımın detayları bilinmese de, zararlı etki açısından, haberlere göre bu saldırı kişisel kontrol bileşenlerinin bozulmasına ve maden eritme ocağının kontrolsüz bir şekilde kapanmasına neden oldu. Sonuç olarak zararlı yazılım devasa bir zarar verdi.

Özetlemek gerekirse, yukarıdaki örneklerden yola çıkarak saldırıların karlı SCADA sistemlerini hedeflemesine karşın yaygın olmadıklarını söyleyebilirsiniz.  Stuxnet ve Alman çelik fabrikasını hedefleyen virüs dışında diğer saldırıların fiziksel zararları olmadı. Çünkü bu karmaşık saldırılar, sadece ileri teknik yeteneklere ve saldırılan altyapı ile ilgili bilgilere değil, aynı zamanda büyük finansal kaynaklara da ihtiyaç duyuyor -ki her siber suçlu bu kaynaklara sahip değil. Siber suçların nasıl değişim gösterdiğine baktığımızda bu tarz yıkıcı saldırıların artacağını düşünebiliriz. Bu da şirketlerin bu saldırılara karşı dikkatli olmaları ve gerekli hazırlıkları bir an önce yapmaları gerektiğini ortaya koyuyor.