ABD’deki bir elektrik tesisinde geçen Mart ayında güvenlik duvarına saldırarak elektrik sistemi işlemlerinde kesintilere neden olan hizmet reddi saldırısı (DoS) hakkında daha fazla ayrıntı ortaya çıktı.
Ulusal Enerji Teknolojileri Laboratuarı tarafından bu yılın başlarında yayınlanan bir raporda, siber saldırının 5 Mart’ta ABD’nin batısındaki bir tesiste sorunlara neden olduğu ortaya çıktı. Bu olay Kaliforniya, Utah ve Wyoming’i etkiledi, ancak herhangi bir elektrik kesintisine yol açmadı.
Raporun kamuya açıklanmasından kısa bir süre sonra, olayın bilinen bir güvenlik açığından yararlanılarak DoS saldırısı düzenlediği ortaya çıktı. Ardından, Kuzey Amerika Elektrik Güvenilirliği Kurumu (NERC) Eylül ayında yaptığı açıklamada, güvenlik açığının etkilenen kuruluş tarafından kullanılan güvenlik duvarlarının web arayüzünü etkilediğini ve saldırganın bu cihazlarda DoS durumunu tetikleyerek yeniden başlatmalara neden olduğunu söyledi.
Bu, kurumun kontrol merkezi ile sahadaki çeşitli cihazlar arasındaki iletişim kesintilerine neden oldu. Kesintiler 10-12 saatlik bir sürede gerçekleşti ve her biri beş dakikadan az sürdü.
Enerji ve çevre konularında haberler veren E&E News , yakın zamanda bir Bilgi Özgürlüğü Yasası (FOIA) talebinde bulunarak olay hakkında daha fazla bilgi edindi.
ABD Enerji Bakanlığı tarafından yapılan talebe cevaben sağlanan acil bir acil durum ve rahatsızlık raporu, saldırının kurbanının rüzgar ve güneş teknolojilerine dayanan Utah merkezli bir yenilenebilir enerji üreticisi olan sPower olduğunu gösteriyor.
Belge , Enerji Bakanlığı temsilcilerinin saldırının Cisco güvenlik duvarlarında bilinen bir güvenlik açığından yararlanmayı içerdiğini açıklamalarına işaret ediyor. Bu tür ürünlerde birçok güvenlik açığı bulunmuştur ve bazıları saldırılarda kullanılmıştır..
Olayı takiben, sPower günlüklerini analiz etti ve ihlal kanıtı bulamadı ve şirket olayın işlemleri etkilemediğini iddia etti. Güvenlik duvarının yeniden başlatıldığı, şirketin sadece bir düzine rüzgar ve güneş enerjisi çiftliğini izlemesini önlediği görülüyor.
Olayı takip eden sPower, güvenlik duvarlarını güncellemesi için Cisco ile temasa geçti. sPower, başka sorunlara yol açmayacaklarından emin olduktan sonra güvenlik duvarları için üretici yazılımı güncellemelerini konuşlandırdı.
Bunun hedefli bir saldırı olup olmadığı belli değil, ancak kötü niyetli aktörlerin internete maruz kalan güvenlik duvarlarını büyük ölçekte hedeflemesi kolay olduğundan, saldırının fırsatçı olması ve saldırganların saldırının etkilerinin farkında olmaması şaşırtıcı olmazdı.
“ Batı ülkelerindeki olaylar gibi ağ cihazlarına saldırmak kolay çünkü yama yapmak zor ve zararlı yazılım önleme yetenekleri yok – ayrıca doğrudan internete maruz kalıyorlar, yani ulus devletler tarafından ya da dünyanın herhangi bir yerinde bulunan siber suçlular tarafından tehlikeye atılabilirler ” diyor CyberX Endüstriyel Siber Güvenlik Başkan Yardımcısı Phil Neray, “ Saldırganların, Rus tehdit aktörlerine yaygın olarak atfedilen 2018 VPNFilter saldırılarında olduğu gibi geçmişte yamasız ağ cihazlarına saldırdığını gördük. “
Neray sözlerine şöyle devam etti: “Saldırganların ABD’nin tüm elektrik şebekesini çökertmesi pek olası değil, çünkü bu durum tek bir arıza noktasını ortadan kaldırmak için özel olarak tasarlandı. Yine de, Rus tehdit aktörlerinin 2015 ve 2016’daki Ukrayna şebeke saldırılarında yaptığı gibi, ulus-devlet saldırganlarının belirli nüfus merkezlerini büyük bir kargaşa ve kaosa yol açabilmek için ne kadar kararlı bir şekilde hedef alabileceğini hayal etmek zor depil. Bu tamamen teorik değil. Mart 2018’de, ABD FBI/DHS, Rus hükümetinin siber aktörlerinin en azından Mart 2016’dan bu yana, enerji, nükleer, ticari tesisler de dahil olmak üzere birçok ABD kritik altyapı sektörünün isini ve devlet kuruluşlarını ve birden fazla ABD kritik altyapısını hedef aldığı ve tehlikeye attığı sonucuna vardı. Bu nedenle kuruluşlar benzer olaylar için yüksek alarm seviyesinde olmalıdır. “
