Güvenlik konseyi, Çin ordusuyla bağlantılı bilgisayar korsanlarının birden fazla eyaletteki su ve enerji tesisleri de dahil olmak üzere Amerikan altyapı kuruluşlarına son zamanlarda yapılan izinsiz girişlerden haberdar olduğunu söyledi. Raporlara göre ne İran bağlantılı ne de Çin bağlantılı saldırılar kritik sistemleri etkilemedi veya aksamalara neden olmadı.
Siber ve gelişen teknolojiden sorumlu ulusal güvenlik danışman yardımcısı Anne Neuberger, “Şirketlerin ve kritik hizmetlerin kötü niyetli suçlulardan ve ülkelerden kaynaklanan artan siber tehditlerle karşı karşıya olduğunu görüyoruz.” dedi.
İsrail-Hamas savaşının başlangıcından bu yana, CyberAv3ngers olarak bilinen İranlı bir bilgisayar korsanlığı grubu, İsrail tarafından üretilen Unitronics programlanabilir mantık denetleyicilerini (su sistemlerini izlemek ve düzenlemek için kullanılan yaygın çok amaçlı endüstriyel cihazlar) kullanan ABD su kuruluşlarını hedef alıyor. Siber güvenlik firması CISO Global’in baş bilgi güvenliği sorumlusu Gary Perkins, “(Böyle bir altyapı) sıklıkla unutuluyor, ihmal ediliyor veya her ikisi de ulus devletler için cazip bir hedef sunuyor.” diyor.
Saldırılar, Amerika Birleşik Devletleri’nde Unitronics cihazlarını kullanan altı yerel su tesisi, bir eczane, bir su sporları merkezi ve bir bira fabrikasının da aralarında bulunduğu en az 11 farklı kuruluşu hedef aldı.
Bilgisayar korsanları, cihazların kontrolünü ele geçirdikten sonra ekranlarını “Hacklendiniz, kahrolsun İsrail.” mesajıyla değiştirdiler. “‘İsrail’de üretilen’ her ekipman CyberAv3ngers’ın yasal hedefidir.”
Saldırıya uğrayan Pensilvanya merkezli Aliquippa Belediye Su İdaresi’nin yönetim kurulu başkanı Matthew Mottes, gazetecilere verdiği demeçte, su idaresinin saldırıdan sonra etkilenen sistemi devre dışı bıraktığını ve yerel sakinlerin su tedarikinde herhangi bir etki yaşanmadığını söyledi.
Federal yetkililer, ele geçirilen cihazlardan bazılarının açık internete varsayılan şifre olan “1111” ile bağlandığını ve bu sayede bilgisayar korsanlarının bu cihazları bulmasını ve erişim kazanmasını kolaylaştırdığını söylüyor. Neuberger, bunu düzeltmenin “hiçbir paraya mal olmadığını” söylüyor ve “Bunlar şirketlerin acilen yapması gereken türden temel şeyler.“
Ancak siber güvenlik uzmanları, bu saldırıların daha büyük bir soruna işaret ettiğini söylüyor: Fiziksel altyapıya güç veren teknolojinin genel zayıflığı. Perkins, donanımların çoğunun internetten önce geliştirilmiş olduğunu ve dijital özelliklerle donatılsalar da hâlâ “yetersiz güvenlik kontrollerine sahip olduklarını” söylüyor.
Ayrıca CyberArk’ta saldırgan siber güvenlik uzmanı Andy Thompson, birçok tedarikçinin sıklıkla aynı ekipmana erişmesi gerektiğinden, birçok altyapı tesisinin “güvenlik yerine operasyonel kullanım kolaylığına” öncelik verdiğini söylüyor.
Ancak bu, saldırganların sistemlerden yararlanmalarını da aynı derecede kolaylaştırabilir: Ücretsiz olarak kullanılabilen web araçları, herkesin; su şirketlerinin kullandığı Unitronics cihazları gibi, genel internete bağlı donanım listeleri oluşturmasına olanak tanıyor. Thompson, “Kritik altyapıyı internet üzerinden kolayca erişilebilir hale getirmemek standart bir uygulama olmalı.” diyor.
Ancak CISO Global çözüm danışmanlığından sorumlu başkan yardımcısı Chris Clements, güvenlik profesyonellerinin “hava boşluğu” dediği su donanımını yalnızca devre dışı bırakmanın yeterli olmadığını söylüyor.
Clements, bir zamanlar hassas sistemlerini internetten izole eden bir su tesisine yapılan siber saldırıya müdahale edilmesine yardım ettiğini, ancak bu nedenle sistemleri son güvenlik yamalarıyla güncellemeyi başaramadığını söylüyor.
Thompson, kritik altyapılara yönelik “saldırı sayısında artış” gördüğünü ve bunun “jeopolitik gerilimler ve küresel çatışmalarla doğrudan bağlantılı” olduğunu düşündüğünü söylüyor. Ancak son saldırılar, karmaşıklıklarından çok “görünüşte vasıfsız saldırganlar tarafından da olsa, çok sayıda saldırının gerçekleştirilmesi” ve “son saldırıların verdiği hasarın nispeten az olması” ile karakterize edildi.
Ancak bazı saldırılar çok daha fazla zarar vermeye rahatsız edici derecede yaklaştı. Temmuz ayında federal savcılar, bir kişiyi daha önce çalıştığı Kaliforniya su arıtma tesisindeki kritik korumaları sabote etmek için uzaktan yazılım kullanmakla suçladı, ancak saldırı tespit edilip engellendi.
Batılı istihbarat raporlarına göre İranlı bilgisayar korsanları 2020’de İsrail’in su kaynaklarındaki klor gibi kimyasalların seviyesini yükseltmeye çalıştı ve başarmaya oldukça yaklaştı.
Yine de Beyaz Saray, su sektörünü daha sert siber güvenlik önlemleri arkasında toparlamakta zorlanıyor. Mart ayında, Çevre Koruma Ajansı; eyaletlerin su sistemlerinde yeni siber güvenlik önlemleri uygulamasını talep eden bir bildiri yayınladı ancak kurum, bir yargıcın EPA’ya dava açan su endüstrisi grupları ve Cumhuriyetçi eyaletler lehine karar vermesinin ardından Ekim ayında notu geri çekti. Önlemlerin çok maliyetli olacağı ve kurumun bunları yayınlama yetkisinin olmadığını söylendi.
Neuberger şimdilik, şirketlerin kritik hizmet kuruluşlarının “dijital kapılarını kilitlemeyi” kendi çıkarları doğrultusunda göreceğini ve Unitronics gibi üreticilerin “teknoloji ürünlerinize güvenlik kazandıracağını” umuyor.
Su sistemlerine yapılan bu saldırılar için “Oldukça basit saldırılardı ve bazı temel siber güvenlik uygulamaları bunu önleyebilirdi.” diyor. “Bu savunulabilir bir şeydi.“
