Google’ın geçtiğimiz sene 5,4 milyar dolar karşılığında bünyesine kattığı siber güvenlik firması Mandiant Rus devlet destekli bilgisayar korsanlarının geçen yıl Ukrayna’daki bir enerji tesisine sofistike bir siber saldırı düzenlediğini ve ülke genelindeki kritik altyapıya yönelik yaygın füze saldırılarından önce bu siber saldırı ile geçici bir elektrik kesintisine neden olduğunu açıkladı.
Siber güvenlik firması Mandiant’a göre, Ekim 2022’de gerçekleşen ve kötü şöhretli Rus grubu Sandworm’a atfedilen saldırı, hedeflenen bir tesisin fiziksel işleyişini bozan nadir bir siber olay örneği olarak dikkat çekiyor. Araştırmacılara göre geçtiğimiz yıl gerçekleşen bu siber saldırı, endüstriyel kontrol sistemlerini (ICS) ve operasyonel teknolojiyi (OT) ihlal etmek için daha önce gözlemlenmemiş bir tekniği de içeriyordu. Mandiant’ın yükselen tehditler ve analizler başkanı Nathan Brubaker, ayrıca bunun sadece savaşın başlamasından bu yana bilinen ilk siber saldırı kaynaklı elektrik kesintisi vakası olmadığını, aynı zamanda böyle bir olayın ilk kez bir füze saldırısıyla eş zamanlı koordine edildiğini söylüyor.
Ukraynalı siber yetkililer daha önce Rusya’nın füze saldırılarıyla koordine ettiği siber saldırılar konusunda uyarıda bulunmuş ancak bu operasyonların nasıl yürütüldüğü ya da hangi tesisleri etkilediği konusunda ayrıntıya girmemişti. Mandiant siber saldırı ile hedef alınan enerji tesisinin yerini, kesintinin süresini ve etkilenen kişi sayısını açıklamadı. Genellikle şirketler ve devlet yetkilileri güvenlik nedeniyle bu bilgileri açıklamaktan kaçınırlar çünkü bu bilgiler saldırıda bulunan kişi ve organizasyonlara aslında saldırının başarısı hakkında daha fazla ayrıntı sağlar ve başka saldırıları teşvik edebilir.
Brubaker, savaş zamanında belirli olayların etkisini belirlemenin de zor olduğunu söyledi. Örneğin bu siber saldırı vakası, enerji tesisinin bulunduğu şehir de dahil olmak üzere, Ukrayna’da birkaç saat süren kasıtlı acil durum kapatmalarına yol açan toplu bir füze saldırısı sırasında meydana geldi. Rusya’nın enerji tesisini ihlal etme operasyonu Haziran 2022’de başladı ve aynı yılın Ekim ayı ortalarında doruğa ulaştı – bu dönem Ukrayna’nın, ülkenin kritik altyapısına yönelik Rus insansız hava aracı ve füze saldırıları nedeniyle sürekli elektrik kesintileri yaşadığı bir dönemdi.
Elektrik kesintileri her gün, bazen günde birkaç kez yaşanıyor ve milyonlarca Ukraynalıyı susuz, ısınmasız ve internetsiz bırakıyordu. Savaş döneminde Ukrayna’nın enerji sektörünü hedef alan siber saldırıların çoğu sofistike değildi ve önemli aksaklıklara neden olmadı. Ancak Sandworm’un saldırısı farklıydı. Mandiant’a göre, ICS/OT teknolojisini ve tesisin normal BT sistemlerini hedef alan iki aşamadan oluşuyordu. ICS sistemleri fiziksel süreçleri ve makineleri kontrol etmek ve yönetmek için kullanılır ve enerji santralleri söz konusu olduğunda verimli elektrik üretimiyle doğrudan bağlantılıdır.
Araştırmacılar, saldırganların özellikle, “kurbanın trafo merkezi ortamı için bir denetleyici kontrol ve veri toplama (SCADA) yönetim örneği barındıran” ağın bir parçası aracılığıyla OT ortamına erişim sağladığını söylüyor. SCADA sistemleri, ekipmanı doğrudan izlemek ve çalıştırmak için donanım ve yazılım içerir. Sandworm daha sonra tesisin transformatörler ve jeneratörler de dahil olmak üzere elektrikli ekipmanlarını aşırı akım veya arızaların neden olduğu hasarlardan koruyan devre kesicilere müdahale etti. İzinsiz giriş planlanmamış bir elektrik kesintisine yol açtı.
Mandiant, Sandworm’un saldırganların harici kötü amaçlı yazılımlar kullanmak yerine bir sistemde halihazırda bulunan araçlardan yararlandığı bir “arazide müdahale” yaklaşımı kullandığını söyledi. Araştırmacılar, bu yaklaşımın siber operasyonları daha hızlı yürütmelerine yardımcı olurken, araştırmacıların bu tür saldırıları tespit etmesini ve yanıt vermesini zorlaştırdığını söyledi.
Elektrik kesintisine neden olduktan sonra Sandworm siber saldırının ikinci aşamasına geçti: CaddyWiper kötü amaçlı yazılımının yeni bir varyantını normal BT ağına yerleştirerek kullanıcı verilerini sildi ve bilgisayardaki dosyaların üzerine yazarak onları kurtarılamaz hale getirdi. Mandiant’a göre, bu kötü amaçlı yazılımın kullanılması muhtemelen daha fazla kesintiye neden olmayı ve potansiyel olarak bilgisayar korsanlarının izlerini ortadan kaldırmayı amaçlıyordu. Araştırmacılar, bilgisayar korsanlarının başlangıçta hedeflenen sisteme nasıl girdiklerini ise henüz belirleyemediler.
Ukrayna siber güvenlik ajansı Eylül ayında yayınladığı bir raporda, enerji tesisine başarılı bir şekilde sızılmasına yol açan temel sorunun OT ve kurumsal BT ağları arasında uygun izolasyonun olmaması olduğunu söylemişti. Bu, birindeki bir siber saldırı ihlalinin potansiyel olarak diğerine yetkisiz erişim sağlayabileceği anlamına geliyor.
