CERT Polska’nın 2025 Enerji Sektörü Olay Raporu, birçok siber olayın gelişmiş teknikler veya bilinmeyen güvenlik açıklarıyla başlamadığını hatırlatıyor. Aksine, bu olaylar hiçbir zaman giderilmemiş temel güvenlik açıklarıyla başlıyor. Varsayılan kimlik bilgileri. İzlenmeyen erişim. Saldırganların silebileceği günlükler. Asıl önemli sistemleri içermeyen yedeklemeler.
Anlatılan olayların birçoğunda saldırganların fazla çaba sarf etmesine gerek kalmadı. Ortam zaten onlara yardımcı oluyordu.
Saldırılar Nasıl Gerçekleşti?
Raporda, saldırganların bilinen yollardan sızdığı birçok olay ele alınmaktadır. Kimlik avı e-postaları, zararlı ekler, güvenliği ihlal edilmiş web siteleri ve açıkta kalan hizmetler, yaygın başlangıç noktalarıydı. Tek bir uç nokta ele geçirildiğinde, saldırganlar meşru araçlar ve standart protokoller kullanarak sessizce ilerlemeye odaklandılar.
İç ağlardaki cihazların genellikle güvenli olduğu varsayılırdı. Bu varsayımın yanlış olduğu ortaya çıktı. Ağ donanımı, yönetim arayüzleri ve işletim sistemleri bazen varsayılan veya paylaşılan kimlik bilgileriyle kuruluyordu. Bazı durumlarda saldırganların herhangi bir güvenlik açığı istismarına gerek kalmadan doğrudan oturum açabildikleri görüldü.
Uzaktan erişim de bu olayda rol oynadı. VPN bağlantıları her zaman titizlikle incelenmiyordu ve kimlik doğrulama kontrolleri ortamdan ortama farklılık gösteriyordu. Bağlantı kurulduktan sonra saldırganlar, RDP oturumlarını ve SMB dosya paylaşımını kullanarak sistem içinde yatay olarak yayıldılar; normal trafiğin arasına karışarak anında tespit edilmekten kaçındılar.
Varsayılan Kimlik Bilgileri Neden Hâlâ En Büyük Risklerden Biri?
Varsayılan kimlik bilgileri, en kolay önlenebilir risklerden biri olmaya devam etse de, gerçek olaylarda hâlâ sıklıkla karşımıza çıkmaktadır. Rapor, sorunun sadece internete açık cihazlarla sınırlı olmadığını açıkça ortaya koymaktadır. OT bileşenleri ve yönetim sunucuları da dahil olmak üzere şirket içi sistemlerde, kimlik bilgileri değiştirilmemiş veya geniş yönetici erişim yetkileri bırakılmıştı.
Saldırganlar öncelikle bu açıkları ararlar. Bunları bulduklarında, hızlı ve sessiz bir şekilde kontrolü ele geçirirler.
Varsayılan kimlik bilgilerini değiştirmek, paylaşılan hesapları sınırlamak ve ayrıcalıklı erişim konusunda hesap verebilirliği sağlamak, ileri düzey önlemler değil, temel gerekliliklerdir. Bunlar eksik olduğunda, geri kalan her şey daha zor hale gelir.
Uygulama Sonrası Tespit Artık Çok Geç
Bazı durumlarda uç nokta güvenlik araçlarının kötü niyetli faaliyetleri tespit ettiği belirtilmelidir. Bu durum, zararın sınırlandırılmasına yardımcı oldu. Ancak bu tespitler genellikle kötü amaçlı yazılımın çalışmaya başlamasından sonra gerçekleşti.
Kötü amaçlı yazılım çalıştırıldığında, saldırganlar kimlik bilgilerini çalabilir, yapılandırmaları değiştirebilir ve sistemde kalıcı bir varlık oluşturabilir. Bu noktada, müdahale süreci daha karmaşık ve daha büyük aksaklıklara yol açar.
Raporda, dosyaların çalıştırılmadan önce taranmasının önemi vurgulanmaktadır. E-posta ekleri, indirilen dosyalar ve çıkarılabilir bellekler aracılığıyla sisteme aktarılan dosyalar, işletim sistemlerine ulaşmadan önce taranmalı ve temizlenmelidir. Tehditleri giriş noktasında durdurmak, daha sonra temizlik yapma ihtiyacını azaltır.
Saldırganların Gerçekte Neleri Kullandığını İzleyin
Raporda anlatılan birçok olay, göz alıcı istismar yöntemlerinden ziyade yatay hareketleri içeriyordu: sistemler arası RDP oturumları, araçları aktarmak için kullanılan SMB paylaşımları ve zamanla güvenlik açıkları yaratan küçük yapılandırma değişiklikleri gibi unsurlar.
İç iletişimi izlemek hayati önem taşır. Doğu-batı trafiği, genellikle internete açık faaliyetlere kıyasla daha az ilgi görür; ancak saldırganlar sisteme sızdıktan sonra zamanlarının çoğunu burada geçirirler.
Yapılandırma değişiklikleri de aynı özeni hak eder. Firewall , VPN ayarları ve Active Directory izinleri, fark edilmeden değiştirilmemelidir. Kuruluşlar, neyin değiştiği, değişikliği kimin yaptığı ve neden yapıldığı konusunda net bir görünürlük sahibi olmalıdır. Beklenmedik değişiklikler, genellikle güvenlik ihlalinin en erken belirtisidir.
Günlükler ve Yedeklemeler: Saldırganların Bozmaya Çalıştığı Parçalar
Raporda ayrıca saldırganların günlük kaydı ve kurtarma süreçlerini nasıl hedef aldıkları da ortaya konuyor. Bazı olaylarda günlük kayıtları silinmiş veya değiştirilmiş, bu da soruşturmaları yavaşlatmış ve olayın tam olarak anlaşılmasını engellemiştir.
Denetim günlükleri, saldırganların bunları değiştiremeyeceği veya silemeyeceği güvenli bir konuma aktarılmalıdır. İdeal olarak, günlükler tek yönlü olarak aktarılmalıdır. Saldırganlar günlükleri silebilirlerse, izlerini gizleyebilirler.
Yedeklemeler de aynı özeni gerektirir. Birçok kuruluş, yapılandırmaları yedeklerken donanım yazılımını, tam sistem görüntülerini ve uç nokta durumlarını göz ardı eder. Donanım yazılımı veya sistem ikili dosyaları tehlikeye girdiğinde, yalnızca yapılandırma yedeklemeleri yeterli olmaz. Kurtarma işlemi için temiz donanım yazılımı, sunucu yedeklemeleri ve güvenilir uç nokta görüntüleri hayati önem taşır.
Asıl Önemli Nokta
CERT Polska raporunda, araç eksikliğinden kaynaklanan sorunlar ele alınmamaktadır. Rapor, aşağıdakiler gibi ihmal edilen temel unsurların yol açtığı sorunları ele almaktadır:
- Varsayılan kimlik bilgileri olduğu gibi bırakıldı.
- Uzaktan erişim tam olarak izlenmiyor.
- Saldırganların ulaşabileceği bir yerde saklanan günlükler.
- Kötü amaçlı yazılım, ancak faaliyete geçtikten sonra tespit edildi.
Bazı saldırıların büyük bir aksaklığa yol açmadan tespit edilmesi şanslı bir durumdur. Ancak şans, bir kontrol mekanizması değildir.
Enerji kuruluşları, saldırı zincirinin daha erken aşamalarında — kötü amaçlı yazılım çalıştırılmadan, kimlik bilgileri kötüye kullanılmadan ve saldırganlar izlerini silmeden önce — riski azaltmalıdır. Rapor bir şeyi açıkça ortaya koyuyor: Saldırganlar öngörülebilir yollar izliyor. Bu da, savunma tarafının bu yolları kapatabileceği anlamına geliyor.
Bu düzeltmeler olağanüstü değil, ancak acil.
Kötü amaçlı yazılımın çalışmasını beklemeyin, hemen harekete geçin. Nasıl yapılacağını öğrenin OPSWAT MetaDefender 'ın, dosyalar kritik sistemlerinize ulaşmadan önce bunları tarayarak ve temizleyerek giriş noktasında tehditleri nasıl önlediğini öğrenin.
