14.06.2017 Industroyer (Crashoverride) Zararlı Yazılımı
Industroyer (Crashoverride) Zararlı Yazılımı
Genel Bilgi
Dünya genelinde hızlıca yayılan ve SCADA sistemlerini (özelelikle elektrik şebekelerini) hedef alan Industroyer (Crashoverride) adlı bir zararlı yazılım tespit edilmiştir.
Etki
Crashoverride yazılımı çeşitli kaynaklarda "ICS'lere (Industry Control Systems-Endüstri Kontrol Sistemleri) yönelik özel olarak hazırlanması bakımından dördüncü (şimdiye dek açığa çıkan Stuxnet, Blackenergy 2 ve Havex örneklerinden sonra), özellikle elektrik şebekelerini hedef alması bakımından ise karşılaşılan ilk zararlı yazılım" olarak değerlendirilmekte ve mevcut zafiyetler nedeniyle SCADA işletim sistemlerinin ele geçirilmesi ve hizmet dışı bırakılması ihtimal dâhilindedir.
Yapılan analizler sonucunda, ilk olarak Asya, Avrupa ve Orta Doğu'daki şebekeleri hedef alacak nitelikte kodlara sahip olduğu, ancak ufak değişikliklerle Amerika ve dünyanın geri kalanındaki elektrik ve diğer türden şebekeler için de tehdit oluşturabileceği anlaşılmıştır. Yazılım kodlarının espiyonaj amaçlı değil, elektrik kesintileri (sabotaj) için tasarlanmış olduğu anlaşılmıştır. Araştırmalar Ukrayna'da 2016 yılında meydana gelen büyük çaptaki elektrik kesintisinin kaynağının da Crashoverride olduğu iddiasını destekleyici niteliktedir. [1,2]
Basit anlatımla, saldırganlar Crashoverride yazılımı marifetiyle, şebekelerdeki bileşenlerin iletişim protokolü standartlarını (IEC 60870-5-101, IEC 60870-5-104, IEC 61850 ve OLE for Process Control Data Access (OPC DA)) hedef alan dört ana yük komponenti kullanarak; dijital şalter, sigorta ve akım kesicileri (switch ve circuit breaker) kontrol etme ve aşırı yüklemelerle devre dışı bırakabilme yeteneğine sahip olmaktadır. Yazılım sayesinde saldırganlar bu işlemleri arkalarında iz bırakmadan gerçekleştirebilmektedir.
Çözüm
Ulusal Siber Olaylara Müdahale Merkezi (USOM), sistem yöneticilerine; kullandıkları ürünlerde daima güncel işletim sistemi sürümlerini kullanmalarını, güncellemeleri birincil ve doğrulanabilen kaynaklardan çekmelerini ve bu konu hakkında azami hassasiyette bulunulmasını tavsiye etmektedir.
Aşağıdaki IP adreslerinin komuta kontrol sunucularını barındırdığı düşünülmekte ve bu hususta dikkatli olunması da önerilmektedir:
- 195.16.88[.]6
- 46.28.200[.]132
- 188.42.253[.]43
- 5.39.218[.]152
- 93.115.27[.]57
Kaynaklar
https://www.us-cert.gov/ncas/alerts/TA17-163A
[1] https://www.welivesecurity.com/wp-content/uploads/2017/06/Win32_Industroyer.pdf
https://www.dragos.com/blog/crashoverride/
[2] https://www.dragos.com/blog/crashoverride/CrashOverride-01.p