Tehdit Faaliyetlerinin Yoğunlaşmasıyla ICS/OT Saldırıları Hızlanıyor
Son iki yılda, endüstriyel kontrol sistemlerine ve operasyonel teknolojiye yönelik saldırılar, teorik bir risk olmaktan çıkıp operasyonel bir gerçekliğe dönüştü. Devletler artık kritik altyapıların içinde sadece hazırlık aşamasında kalmıyor; harekete geçiyorlar. OT ortamlarını hedef alan devlet destekli aktörler için tercih edilen silah, fidye yazılımından silici yazılımların yerini aldı. Neredeyse tüm büyük olayları birbirine bağlayan tek bir ortak nokta var: Kimsenin denetlemediği bir güven sınırını aşan kötü amaçlı bir dosya.
Bu makale, 2024'ten 2026'nın başlarına kadar uzanan ICS/OT tehdit ortamını, APT isimleri ve CVE numaralarından oluşan bir liste olarak değil, bir hikâye şeklinde ele almaktadır. Öncelikle genel bir bakışla başlıyoruz: neler oldu ve ne zaman gerçekleşti. Ardından, bu olayların arkasında kimlerin olduğunu ve nasıl gerçekleştirdiklerini inceliyoruz; son olarak da, modern bir ICS silme saldırısının iç yüzünü göstermek için bir olayı ayrıntılı olarak ele alıyoruz.
Önemli rakamlar
- 2025 yılında, 119 fidye yazılımı grubu OT ortamlarını aktif olarak hedef aldı; bu rakam, 2024'teki 80 gruba kıyasla %49 artışa tekabül ediyor
- Fidye yazılımı saldırılarının kurbanlarının üçte ikisinden fazlası imalatçılardan oluşuyordu; bu, en çok hedef alınan tek sektör
- Volt Typhoon, bir ABD elektrik şirketinin OT ağı içinde 300 günden fazla bir süre boyunca fark edilmeden faaliyet gösterdi
- Sadece 2024–2025 yıllarında ICS/OT hedeflerine yönelik altı siber saldırı kampanyası gerçekleştirildi; bu sayı, benzer herhangi bir döneme kıyasla daha fazla
ICS/OT Olay Zaman Çizelgesi Genel Bakış
Bu saldırıların arkasında kimlerin olduğu veya nasıl işlediklerini analiz etmeden önce, bunları bir zaman çizelgesi üzerinde incelemek faydalı olacaktır. Aşağıdaki tablo, bu dönemdeki tüm önemli ICS/OT olaylarını — sektör, tehdit aktörü ve coğrafi bölgeye göre sınıflandırılmış olarak — göstermektedir; böylece konuyu daha derinlemesine incelemeden önce genel bir fikir edinebilirsiniz.
Tarih | Olay | Sektör | Oyuncu | Coğrafya |
Nisan 2026 | Rockwell PLC’lerini hedef alan İranlı APT grubu — ABD kritik altyapısı genelinde faaliyetleri aksatıyor | Enerji Su Hükümet | IRGC-CEC / CyberAv3ngers grubu | Birleşik Devletler |
Mart 2026 | Handala silici, Stryker'ı devre dışı bıraktı — 79 ülkede 200 binden fazla cihazın silindiği iddia ediliyor | Sağlık Hizmetleri | Handala / Boşluk Manticore (MOIS) | Dünya çapında (79 ülke) |
2025 | DynoWiper, Polonya elektrik şebekesini ve yenilenebilir enerji kaynaklı dağıtık enerji kaynaklarını hedefliyor | Enerji | Kum Solucanı / ELECTRUM (GRU) | Polonya (NATO) |
2025 | PathWiper, Ukrayna’nın kritik altyapısına karşı kullanıldı | Kritik Altyapı | Rusya bağlantısı | Ukrayna |
2025 | BAUXITE / BlueWipe-SewerGoo silgi kampanyası | Enerji Depolama | BAUKSİT (IRGC-CEC) | İsrail |
2025 | PYROXENE, devlet kurumlarını ve kritik altyapıyı hedef alıyor | Hükümet Kritik Altyapı | PYROXENE (IRGC-CEC / APT35) | İsrail, Arnavutluk |
2025 | SYLVANITE → VOLTZITE tedarik zincirine yönelik saldırılar | Enerji Su | Çin Halk Cumhuriyeti devletine bağlı | Birleşik Devletler |
2025 | KAMACITE, ABD'deki endüstriyel hedefleri tarıyor | Üretim | Rusya (GRU ile bağlantılı) | Birleşik Devletler |
2025 | Z-PENTEST, Norveç'teki bir barajın HMI sistemini ele geçirdi | Su/Baraj | Z-PENTEST (Rusya yanlısı) | Norveç |
Ocak 2024 | FrostyGoop, Modbus TCP aracılığıyla Lviv'in bölgesel ısıtma sistemini kesintiye uğratıyor | Enerji/Isıtma | Rusya ile bağlantılı | Ukrayna |
2024 | Volt Typhoon / VOLTZITE — ABD'deki bir kamu hizmeti kuruluşunda 300 günden fazla | Enerji Su | Çin Halk Cumhuriyeti (Volt Typhoon) | Birleşik Devletler |
2024 | AcidPour siber saldırısı Ukrayna'nın telekom altyapısını hedef alıyor | Telekom | Kum Solucanı (GRU) | Ukrayna |
2024 | Sandworm Spring — enerji ve su sektörlerine yönelik tedarik zinciri saldırısı | Enerji Su | Kum Solucanı (GRU) | Ukrayna |
Ağustos 2024 | Halliburton, RansomHub saldırısına uğradı — 35 milyon dolarlık zarar | Petrol ve Gaz | RansomHub | Birleşik Devletler |
2024 | Fuxnet, Moskova’nın kamu hizmetleri sensör altyapısını tahrip etti | Yardımcı Programlar | BlackJack (Ukrayna bağlantılı) | Rusya |
Eylül 2024 | Arkansas City, Kansas su arıtma tesisi fidye yazılımı saldırısı | Su | Hazard fidye yazılımı | Birleşik Devletler |
2023–24 | CyberAv3ngers / IOCONTROL — ABD’deki su tesislerinde 75’ten fazla cihaz ele geçirildi | Su | IRGC (İran) | Amerika Birleşik Devletleri, İsrail |
Ocak 2024 | Muleshoe, Teksas'ta açıkta kalan HMI aracılığıyla su tankı taşması | Su | CyberArmyofRussia_Yeniden Doğuş | Birleşik Devletler |
Artan Silecek Kampanyaları ve Genişleyen OT Hedefleri
Hız giderek artıyor. Yalnızca 2 endemik sistemlere (ICS/OT) yönelik siber saldırı kampanyalarının sayısı, 2025 yılında önceki tüm yılların toplamından daha fazla oldu. Coğrafi yayılım genişleyerek Ukrayna-Rusya cephesinin ötesine geçip Polonya gibi NATO üye ülkelerine, Norveç dahil Batı Avrupa’ya ve İsrail dahil Orta Doğu’ya uzandı. Sektör çeşitliliği de enerji ve su sektörlerinin ötesine geçerek sağlık, telekomünikasyon ve imalat sektörlerine yayıldı.
Bu saldırılar farklı ülkeleri, sektörleri ve kurbanları hedef alıyor — ancak hepsi aynı şekilde başlıyor: Kimsenin farkına varmadığı bir dosya ile. Bunlardan sadece birini çalıştırın, yok etmek için tasarlandığını hemen anlayabilirsiniz.
Ulus Devletler ve Hacktivist Gruplar, Drive Saldırılarının Drive
Yukarıdaki zaman çizelgesi yoğun görünüyor, ancak rastgele değil. Olaylar, her biri kendine özgü motivasyonları, yetenekleri ve tercih ettikleri hedefleri olan az sayıdaki aktör grubu etrafında yoğunlaşıyor.
Rusya — hâlâ en yaygın ICS tehdidi
Bu dönemde ICS sistemlerini hedef alan faaliyetlerin en büyük kısmını Rusya ile bağlantılı aktörler oluşturuyor; bu aktörler, farklı rollere sahip çok sayıda grup aracılığıyla faaliyet gösteriyor.
Sandworm (ELECTRUM), dünyadaki en yetkin endüstriyel kontrol sistemleri (ICS) odaklı saldırgan olmaya devam ediyor. Aralık 2025’te Polonya’nın elektrik şebekesine yönelik düzenledikleri saldırı kampanyası, kojenerasyon tesisleri ile rüzgâr ve güneş enerjisi gibi yenilenebilir enerji dağıtım sistemleri dahil olmak üzere yaklaşık 30 dağıtık enerji tesisini hedef aldı. Bu olay, dağıtık enerji kaynaklarını geniş ölçekte hedef alan ilk büyük çaplı koordineli siber saldırı olarak tarihe geçti.
Söz konusu saldırıda kullanılan DynoWiper kötü amaçlı yazılımı, enerji altyapısına yönelik bir Windows PE siliciydi. Bu yazılım, dağıtık enerji kaynakları (DER) tesislerindeki Windows tabanlı bilgisayarları sildi ve bazı OT ve ICS ekipmanlarını onarılamayacak şekilde devre dışı bıraktı. Her ne kadar elektrik kesintisi yaşanmamış olsa da, saldırganlar şebeke operasyonları için hayati önem taşıyan operasyonel teknoloji sistemlerine erişim sağladı.
Daha önce, PathWiper kampanyası kapsamında, MBR ve MFT yok eden MFT tüm sürücülerdeki dosyaların üzerine yazan bir PE siliciyle eşleştirilmiş bir VBScript dropper kullanılarak Ukrayna’nın kritik altyapısı hedef alınmıştı. 2024 yılında ise, Ukrayna’nın telekom altyapısına karşı bir Linux ELF silici olan AcidPour’u devreye soktular ve enerji ile su sistemlerini hedef alan bir tedarik zinciri saldırısı düzenlediler.
KAMACITE, destekleyici altyapı katmanı olarak işlev görmektedir. 2025 yılında, GRU ile bağlantılı bu grubun ABD’deki endüstriyel hedefleri keşif amaçlı taradığı gözlemlenmiştir; bu durum, tarihsel olarak ELECTRUM’un yıkıcı operasyonlarından önce gerçekleştirilen hazırlık faaliyetlerini yansıtmaktadır.
Çin — sabırlı, derin ve genişleyen bir etki alanı
Çin’in yaklaşımı, Rusya’nınkinden temelden farklıdır. Rus aktörler yok ederken, Çinli aktörler varlıklarını sürdürür.
VOLTZITE (Volt Typhoon) yazılımının, bir ABD elektrik şirketinin OT ağı içinde 300 günden fazla bir süre boyunca varlığı tespit edildi; bu süre zarfında GIS verileri ve OT sistem yapılandırmaları çalındı. Bu, sadece casusluk amacıyla yapılmış bir eylem değildi. Önceden yerleştirilme şekli, ABD elektrik altyapısına gelecekte yönelik bir kesintiye hazırlık yapıldığına işaret ediyor.
2025 yılında, SYLVANITE ilk erişim aracısı, Ivanti VPN cihazları, F5 cihazları ve diğer uç altyapıdaki güvenlik açıklarını hızla istismar etti. Bu erişim noktaları daha sonra, OT sistemlerine daha derin sızmalar gerçekleştirmek üzere VOLTZITE boru hattına aktarıldı. Hedefler, elektrik ve su hizmetlerini de kapsayacak şekilde genişletildi.
2025 yılında ortaya çıkan ve yeni izlemeye alınan AZURITE grubu, Çin bağlantılı OT hedefli saldırıların tırmanışını temsil ediyor. AZURITE, ABD, Avustralya ve Avrupa’daki imalat, savunma ve otomotiv sektörlerinde bulunan OT mühendislik iş istasyonlarını aktif olarak hedef alıyor. Grup, ağ şemaları, alarm verileri ve süreç yapılandırmalarını ele geçirmeye odaklanıyor.
İran — fiziksel şiddete varan sınırın aşılması
Bu dönemde İran devlet destekli aktörler, fırsatçı yaklaşımdan fiziksel süreçleri kasıtlı olarak hedef almaya doğru belirgin bir dönüşüm geçirdiler.
CyberAv3ngers (BAUXITE / IRGC), 2023–2024 yıllarında Pennsylvania’daki bir basınç artırma istasyonundaki bir PLC’yi doğrudan ele geçirmek de dahil olmak üzere, ABD’deki çeşitli su tesislerinde 75’ten fazla cihazı ele geçirdi. Cihazların ürün yazılımı güncelleme paketlerine gömülmüş MQTT tabanlı komuta ve kontrol mekanizmasına sahip bir Linux ikili dosyası olan IOCONTROL kötü amaçlı yazılımı, OT cihazlarını ele geçirmek için özel olarak tasarlandı. 2025 yılında BAUXITE grubu, İsrail'in enerji ve depolama altyapısına karşı BlueWipe-SewerGoo silici varyantlarını kullanmıştır.
PYROXENE (IRGC-CEC, APT35 ile örtüşen faaliyetler), 2025 yılında İsrail ve Arnavutluk’taki kritik altyapı ve devlet ağlarını hedef aldı. Grup, PE silici yüklerini dağıtmak için sosyal mühendislik ve tedarik zinciri saldırılarını bir arada kullandı.
Handala, hacktivizm ile devlet destekli yıkım arasındaki belirsiz sınırı temsil ediyor. Birçok tehdit istihbaratı şirketi tarafından İran İstihbarat ve Güvenlik Bakanlığı’nın desteklediği “Void Manticore” adlı bir tehdit aktörünün paravanı olarak değerlendirilen grup, 2023 yılının sonlarında ortaya çıktı ve o zamandan beri İsrailli hedeflere karşı sürekli silme saldırıları düzenliyor.
Kullandıkları araç seti teknik açıdan oldukça gelişmiştir. Genellikle akıcı bir İbraniceyle yazılmış olan kimlik avı e-postaları, bir AutoIT komut dosyasını çalıştıran bir NSIS yükleyicisi iletir; bu komut dosyası ise siliciyi meşru bir Windows işlemine enjekte eder. Son yük, dosyaları rastgele verilerle üzerine yazar, güvenlik açığı bulunan bir sürücüyü kullanarak ayrıcalıkları yükseltir ve verileri yok API Telegram’ın API aracılığıyla sistem bilgilerini dışarı aktarır.
Bu yükleyici pek çok hareketli parçadan oluşuyor — dosyalar bölünmüş, sahte isimler verilmiş ve komutlar çalışırken bir araya getirilmiş. Ancak her adım, aslında sadece bir dosyanın daha bırakılıp çalıştırılması anlamına geliyor. Örneği çalıştırmak, silici herhangi bir şeyi silmeden önce tüm süreci ortaya çıkarıyor.
Mart 2026'da Handala, Fortune 500 listesindeki tıbbi cihaz üreticisi Stryker'ı hedef aldı ve şirketin uç nokta yönetim platformu olan Microsoft Intune'u kötüye kullanarak 79 ülkedeki cihazları sildi. Yıkım aşaması için özel bir kötü amaçlı yazılım gerekmedi. Yönetici düzeyindeki Intune erişimi, sisteme kayıtlı cihazlar için merkezi bir acil kapatma düğmesi işlevi gördü.
Nisan 2026’da, altı ABD kurumunun ortak bir uyarısında, aynı İranlı siber suç grubunun en azından Mart 2026’dan beri hükümet, su ve enerji sektörlerindeki internet bağlantılı Rockwell PLC’lerini aktif olarak bozduğu belirtildi. Saldırganlar, bilinen bir kimlik doğrulama atlatma açığını (CVE-2021-22681) istismar ederek, meşru Rockwell mühendislik yazılımlarını kullanarak PLC proje dosyalarını tahrif etti ve operatör ekranlarını manipüle etti. Bu, Amerikan topraklarında endüstriyel süreçlerin aktif olarak kesintiye uğratılması anlamına geliyordu.
Hacktivistler — fiziksel katmana ulaşmak
Bu dönemde Rusya yanlısı hacktivist gruplar önemli bir eşiği aştı. Z-PENTEST , 2025 yılında zayıf bir şifreyi kullanarak Norveç’teki bir barajda internete açık bir HMI’ye sızdı ve fiziksel su kontrol sistemlerini manipüle etme imkânı elde etti. CyberArmyofRussia_Reborn ise Teksas’ın Muleshoe kentinde bir HMI’ye erişerek, personel manuel kontrole geçmeden önce bir su tankının taşmasına neden oldu.
Bunlar karmaşık saldırılar değil. Basit, fırsatçı ve giderek daha ciddi sonuçlar doğuran saldırılar. OT ortamlarında fiziksel aksaklıklara yol açmanın önündeki engel, birçok operatörün sandığından daha düşük.
Dosya Tabanlı Saldırılar, Veri Silme Programları ve BT/OT Arasında Geçiş Yapma, ICS/OT Saldırılarının Temel Özellikleri
Farklı aktörlerin, sektörlerin ve coğrafyaların yer aldığı tüm bu olaylarda, tutarlı bir dizi örüntü ortaya çıkmaktadır.
Silecekler, en yaygın yıkıcı araç haline gelmiştir
Bu, ICS ve OT tehdit faaliyetlerinde gözlenen en önemli eğilimdir. Sadece 2024–2025 yıllarında, endüstriyel ve kritik altyapı ortamlarını hedef alan en az altı farklı silme kampanyası gerçekleştirilmiştir: Polonya'nın enerji sektörünü hedef alan DynoWiper, Ukrayna'nın kritik altyapısını hedef alan PathWiper, Ukrayna'nın telekom sektörünü hedef alan AcidPour, İsrail'in enerji sektörünü hedef alan BAUXITE veya BlueWipe-SewerGoo, İsrail ve Arnavutluk'taki hükümet ve kritik altyapıyı hedef alan PYROXENE ve küresel sağlık sektörünü hedef alan Handala.
Siliciler giderek daha hedefli hale geliyor. DynoWiper, özellikle Polonya’daki enerji altyapısına yönelik olarak kullanıldı; dağıtık enerji tesislerindeki Windows tabanlı bilgisayarların verilerini sildi ve bazı OT ekipmanlarını geri dönüşü olmayan bir şekilde devre dışı bıraktı. PathWiper, dosyaların üzerine yazmadan MFT MBR ve MFT yok ederek kurtarmayı olabildiğince zorlaştırıyor. AcidPour ise gömülü Linux cihazlarını hedef alıyor ve OT ekipmanlarında kullanılan UBI birimlerini ve Device Mapper bölümlerini siliyor.
Handala’nın Stryker saldırısı, farklı bir tür evrim örneği sergiledi. Saldırganlar, özel olarak geliştirilmiş kötü amaçlı yazılımları geniş ölçekte dağıtmak yerine, Microsoft Intune adlı meşru bir kurumsal yönetim aracını kötüye kullanarak, kayıtlı cihazların tümüne aynı anda toplu silme komutu gönderdi. Bu, kuruluşun kendi altyapısını fiilen bir silaha dönüştürdü. Bunlar, OT için yeniden amaçlandırılmış genel amaçlı araçlar değildir. Etkilediği ortamlar için özel olarak tasarlanmış veya bu amaçla kullanıma sokulmuş araçlardır.
ICS'ye özgü kötü amaçlı yazılımlar giderek daha sofistike hale geliyor
FrostyGoop, bir dönüm noktası olarak özel bir ilgiyi hak ediyor. Ocak 2024’te Lviv bölgesel ısıtma sistemine yönelik olarak kullanıma sokulan bu yazılım, üretim ortamında Modbus TCP protokolünü doğrudan istismar eden ilk kötü amaçlı yazılımdı. Go dilinde yazılmış ve Windows PE ikili dosyası olarak derlenmiş olan yazılım, mühendislik ağı üzerinden dağıtıldı ve bir dosya aktarımı yoluyla BT’den OT’ye geçti. Saldırı sonucunda, sıfırın altındaki sıcaklıklarda 600’den fazla apartman binası iki gün boyunca ısıtmasız kaldı.
FrostyGoop'un önemi, Modbus TCP'nin dünya çapında endüstriyel ortamlarda yaygın olarak kullanılmasıdır. Bu kötü amaçlı yazılım, saldırganların artık sadece OT sistemlerine bitişik Windows iş istasyonlarını hedeflemenin ötesine geçtiklerini ortaya koydu. Artık endüstriyel protokollerle doğrudan iletişim kuran kodlar yazıyorlar.
FrostyGoop'un amacı, yüklediği kodun tam da içinde yatıyor — içe aktardığı kütüphanelerin tek bir amacı var: endüstriyel kontrolörlerle iletişim kurmak
Her OT ihlalinin saldırı zincirinde bir dosyası vardır
İşte ortak nokta budur. Zaman çizelgesindeki her olayda, aktör, sektör veya coğrafi konum ne olursa olsun, saldırı zincirinin bir noktasında kötü amaçlı bir dosya güven sınırını aşmıştır:
- Wipers, PE yürütülebilir dosyaları, VBScript dropper'ları ve Linux ELF ikili dosyaları olarak dağıtıldı.
- Tedarik zincirine yönelik saldırılarda, trojan bulaştırılmış yükleyici paketleri ve yazılım güncellemeleri kullanıldı.
- Spearphishing saldırıları, VBA makroları içeren Excel dosyaları ve gömülü yükler barındıran OneNote dosyaları gibi zararlı belgeler gönderdi.
- ICS'ye özgü kötü amaçlı yazılımlar, FrostyGoop gibi derlenmiş Go ikili dosyaları, Triton ve COSMICENERGY gibi Python yükleri ve Industroyer2 ile DynoWiper gibi özel PE ikili dosyaları şeklinde ortaya çıktı.
- Volt Typhoon gibi “yerinde yaşam” tarzı saldırılar bile, ele geçirilen sistemlere yerleştirilen web kabukları, yatay hareket komut dosyaları ve kimlik bilgisi toplama araçları gibi izler bıraktı.
- Halliburton ve Arkansas City gibi OT ile bağlantılı ortamları etkileyen fidye yazılımı yükleri, kimlik avı eki ve sunucu saldırıları yoluyla yayılmıştır.
Dosya türleri farklılık gösterir. Dağıtım yöntemleri farklılık gösterir. Aktörler farklılık gösterir. Ancak genel akış aynı kalır: Bir dosya ortama girer, güvenilir bir bölgeye geçer ve ya doğrudan çalıştırılır ya da saldırının bir sonraki aşamasını başlatır.
Kenar cihazları ve açıkta kalan HMI'lar, yeni güvenlik sınırını oluşturuyor
Hem Norveç’teki Z-PENTEST baraj saldırısı hem de Teksas’taki Muleshoe su taşkını aynı zayıflığı istismar etti: İnternete açık, zayıf veya varsayılan kimlik bilgileri kullanılan HMI’lar. ABD’deki su tesislerine yönelik CyberAv3ngers kampanyası, varsayılan kimlik bilgilerini kullanan Unitronics PLC’lerini hedef aldı. Bunlar sıfır gün istismarları değildir. Bunlar, OT sistemleri ile internet arasındaki sınırda meydana gelen yapılandırma hatalarıdır.
Saldırılar, BT ve OT arasındaki sınırda yön değiştiriyor
Bir dizi olayda saldırı, BT ve OT sınırında gerçekleşmektedir. Her iki ortamda da bulunan ve kurumsal ağları üretim sahasındaki PLC’lerle birbirine bağlayan mühendislik iş istasyonları, en yaygın geçiş noktasıdır. AZURITE bu istasyonları doğrudan hedef almaktadır. Volt Typhoon bu istasyonlar üzerinden yayılmıştır. Triton saldırısı için bunlardan birine fiziksel erişim gerekmiştir. FrostyGoop ise mühendislik ağı üzerinden yayılmıştır. İş istasyonunu korumak, bu istasyona gelen dosyayı korumak anlamına gelir.
Uygulama Öncesi Tahmin ve Davranış Analizi, OT Saldırılarını Etkisini Göstermeden Önce Durdurur
MetaDefender ile Davranışsal Sıfırıncı Gün Tespiti
ICS ve OT saldırılarındaki ortak eğilimler, tutarlı bir gerçeğe işaret ediyor: Bilinmeyen ve tespit edilmesi zor tehditler, ortamlara dosya olarak giriyor, güven sınırlarını aşıyor ve geleneksel savunma sistemlerinin tepki veremeden çalıştırılıyor. Bu saldırıları durdurmak için hem derinlemesine davranış analizi hem de kötü niyetli eylemlerin gerçekleştirilmeden önce öngörülmesi gerekiyor.
MetaDefender , dosyalarda gizlenmiş bilinmeyen ve tespit edilmeye karşı dirençli tehditleri ortaya çıkarmak üzere tasarlanmış, OPSWATbütünleşik sıfırıncı gün tespit çözümüdür. Uyarlanabilir sanal ortam, tehdit istihbaratı, tehdit puanlama ve makine öğrenimi tabanlı benzerlik aramasını tek bir tespit sürecinde birleştirerek her dosya için güvenilir bir sonuç sunar.
Aether, dosyaları sanal bir ortamda çalıştırarak, statik araçların tespit edemediği fidye yazılımı mantığı, kod enjeksiyonu, analiz önleme teknikleri ve çok aşamalı yükler gibi gizli davranışları ortaya çıkarır. Bu bulguları milyarlarca tehdit göstergesiyle karşılaştırarak riskleri belirler, varyantları ortaya çıkarır ve faaliyetleri bilinen saldırgan teknikleriyle eşleştirir.
Bu yaklaşım, kuruluşların temizlenemeyen veya değiştirilemeyen yürütülebilir dosyalar, komut dosyaları, arşivler ve yama dosyalarındaki sıfırıncı gün tehditlerini tespit etmesini sağlar. Ayrıca, dinamik analizin zorunlu olduğu ve dosya bütünlüğünün korunması gereken düzenlemelere tabi sektörlerdeki uyumluluk gerekliliklerini de destekler.
Predictive Alin AI ile Yürütme Öncesi Tehdit Tahmini
Buna ek olarak, Predictive Alin AI, ağ sınırında çalışan bir ön-yürütme algılama katmanı sunar. Dosyaların zararlı etkisini göstermesini beklemek yerine, yapısal ve davranışsal göstergeleri analiz ederek kötü niyetli eylemleri milisaniyeler içinde tahmin eder. Bu sayede kuruluşlar, yüksek riskli dosyaları ortama girmeden veya kritik sistemlere ulaşmadan engelleyebilir.
Predictive Alin AI, MetaDefender tarafından tespit edilen sıfırıncı gün tehditleri kullanılarak sürekli olarak yeniden eğitilmektedir. Doğrulanmış her tehdit, modelin benzer saldırıları zincirin daha erken aşamalarında tespit etme yeteneğini güçlendirir. Bu, derinlemesine analiz ile öngörülü tespit arasında bir geri bildirim döngüsü oluşturur; bu döngüde Aether bilinmeyen tehditleri ortaya çıkarır ve Alin bu istihbaratı kullanarak yeni nesil saldırıları gerçekleştirilmeden önce durdurur.
MetaDefender ve Predictive Alin AI birlikte kullanıldığında hem derinlemesine inceleme hem de hız sağlar. Predictive Alin AI, güvenlik sınırında anında ve işlem öncesinde kararlar verirken, MetaDefender daha derinlemesine inceleme gerektiren dosyalar için kapsamlı davranış analizi gerçekleştirir. Bu katmanlı yaklaşım, yanlış pozitif sonuçları azaltır, SOC’nin müdahale süresini kısaltır ve hem bilinen hem de bilinmeyen tehditlerin OT ortamlarını etkilemeden önce tespit edilmesini sağlar.
Dosya Tabanlı OT Saldırılarını Engellemek İçin Katmanlı Sıfırıncı Gün Tespiti Gerekiyor
ICS ve OT tehdit ortamı artık münferit olaylarla tanımlanmıyor. Bu ortam, tekrarlanan kalıplar tarafından şekilleniyor. Veri silme saldırıları giderek daha hedefli hale geliyor, saldırganlar daha hızlı hareket ediyor ve saldırılar sürekli olarak güven sınırlarını hedef alıyor. Her vakada tek bir sabit unsur var: Ortama giren bir dosya, saldırıyı mümkün kılıyor.
Statik inceleme ve imza tabanlı araçlar, bu saldırıların ortak noktasını, yani henüz sınıflandırılmamış bir niyetle güven sınırını aşan bir dosyayı tespit edemez. Bunları durdurmak, söz konusu dosyanın çalıştırılmadan önce incelenmesini ve çalıştırıldığında ne yapacağını öngörmeyi gerektirir.
MetaDefender ve Predictive Alin AI, işte bu amaçla geliştirilmiştir. Predictive Alin AI, güvenlik sınırında milisaniyeler içinde bir karar verir; MetaDefender ise daha ayrıntılı inceleme gerektiren tehditleri ortadan kaldırır ve teyit edilen her sıfırıncı gün (zero-day) tehdidini öngörü modeline geri besler. Sonuçta, ICS ve OT saldırılarının başladığı tam sınırda, incelediği her dosya ile daha da keskinleşen katmanlı bir savunma sistemi ortaya çıkar.
MetaDefender ve Predictive Alin AI'nın, OT ortamınıza yönelik dosya tabanlı saldırı yollarını nasıl engellediğini görün.
