Siber saldırganlar, yeteneklerine ve motivasyonlarına göre siber saldırı öncesinde detaylı bir hazırlık aşamasından geçerler. Motivasyon kaynaklarına göre bir hedef kurban belirledikten sonra kurbanları ile ilgili bilgi toplamaya başlarlar. İlk aşamadan başlayarak sistemli ve organize olmak siber saldırının başarılı olma ihtimalini arttırmaktadır. Siber saldırganların çalışma yöntemlerini anlamak ve bu saldırılara karşı hazır olmak için saldırganların yöntemlerini iyi irdelememiz ve anlamamız gerekmektedir. Bugün endüstriyel kontrol sistemlerine yönelik siber saldırıları analiz edebilmek amacıyla çeşitli modeller arasından seçtiğim siber ölüm zinciri modelinin detaylarını sizlerle paylaşacağım.
Ağ güvenliği ile ilgili olarak siber saldırının çeşitli aşamalarını tanımlamak için siber ölüm zinciri aşamaları tanımlanmıştır. Gerçek model olan Siber Ölüm Zinciri çerçevesi, Lockheed Martin tarafından geliştirilmiştir ve siber saldırıların daha iyi anlaşılması ve önlenmesi için kullanılmaktadır. Bir ölüm zincirindeki asıl adımlar, siber saldırının ilk keşif aşamasından siber saldırıya uğradığı noktaya kadar siber saldırının tipik aşamalarını izler. Analistler, gelişmiş kalıcı tehditleri (APT) tespit etmek ve önlemek için bu zincir yapısını kullanır. Siber Ölüm Zinciri’ne göre hedefli bir siber saldırı 7 aşamada gerçekleşmektedir. SANS kaynaklarına göre; Siber Ölüm Zincirini 2 faza ayırarak bu aşamaları detaylı bir şekilde inceleyelim.

1. Siber Saldırı Hazırlık ve Uygulama Fazı
Bir EKS (Endüstriyel Kontrol Sistemleri) siber saldırısının ilk aşaması geleneksel olarak casusluk veya istihbarat operasyonu olarak sınıflandırılacak faaliyet türü olarak sınıflandırılır. Lockheed Martin’in Siber Ölüm Zincirinin içerdiği saldırıların doğası gereği çok benzer ve genellikle EKS ile ilgili bilgilere erişmek, sistemi öğrenmek ve iç çevre korumalarını aşmak veya üretim ortamlarına erişmek için mekanizmalar sağlamak gibi bir amacı bulunmaktadır. Birinci aşamadaki fazlar, aşağıdaki şekilde gösterilmektedir.

  • Planlama aşaması : Planlama, Aşama 1’in ilk aşamasıdır ve keşif faaliyetlerini içerir. Keşif, gözlem veya başka tespit yöntemleri yoluyla bir şey hakkında bilgi edinme aktivitesidir. Siber saldırı planlama ve keşif, genellikle hedef hakkında, genellikle Google ve Shodan gibi açık kaynaklı bilgi toplama araçlarının yanı sıra, kamuya açık duyurular ve sosyal medya profilleri gibi kamuya açık verilerin araştırılması yoluyla araştırma yapılması faaliyetlerini içerir. Planlama aşamasının amacı, zayıf yönleri ortaya çıkarmak ve saldırganları bir sistemin unsurlarını hedefleme, sunma ve kullanma çabalarında destekleyen bilgileri tespit etmektir. Bir saldırgan için faydalı olabilecek bilgi türleri arasında kullanılan teknoloji, insan, ağ, ev sahibi, hesap ve protokol bilgileri ile politikalar, işlemler ve prosedürler hakkında bilgiler yer alabilir. EKS’nin planlanması ve keşif edilmesi, EKS’in teknik açıklarını ve özelliklerini araştırmak veya süreç ve işletme modelinin sömürüye nasıl duyarlı olabileceğinin anlaşılması gibi faaliyetleri de içerebilir. Pasif keşif teknikleri (genellikle ayak izi olarak adlandırılır), hedef hakkında gözlemlenmeden bilgi geliştirmek için internette mevcut olan muazzam miktarda bilgiden yararlanabilir. Keşif, genellikle hedefin herkese açık veya özel olarak erişilebilir saldırı yüzeylerini aktif bir şekilde haritalandırmayı, aktivite etkinliklerini modellemeyi ve işletim sistemi yazılımının sürümlerini rutin sorgular yoluyla belirlemeyi içerebilir.
  • Hazırlık Aşaması : Hazırlık, Aşama 1’in ikinci aşamasıdır ve silahlandırmayı veya hedeflemeyi içerebilir. Silahlandırma, saldırganın bir sonraki adımını mümkün kılmak amacıyla, belgeler gibi zararsız bir dosyayı değiştirmeyi içerir. Çoğu zaman silahlanma, PDF’ler gibi, içinde bir istismara sahip dosyalar olarak kendini gösterir. Bununla birlikte, silahlandırılmış belge, mevcut özelliklerden, örneğin Word belgelerindeki makrolar gibi, kötü niyetli bir şekilde yararlanabilir. Hedefleme ikinci aşamada da yapılabilir ve saldırgan sömürü için potansiyel mağdurları belirlediğinde gerçekleşir. Hedefleme, modern askeri bakışta, hedefleri analiz etme ve öncelik sırasına koyma, uygun ölümcül ve ölümcül olmayan eylemleri bu arzu edilen spesifik etkileri yaratmak için bu hedeflerle eşleştirme sürecidir. Siber saldırganlar, belirli bir süre boyunca gereken çaba, teknik başarı olasılığı ve tespit riski arasındaki dengeler temelinde hedefe karşı hangi saldırı aracını veya yöntemini kullanacaklarına karar verirler. Örneğin, keşif sonrasında bir saldırgan, çevreye yönelik sanal bir özel ağın (VPN), savunucunun ağının hedeflenmesi için doğru bir parça olduğunu belirleyebilir, çünkü hedeflerine gereken en az kaynak harcamasıyla ulaşmada en iyi yaklaşım olabilir. Silahlanma ve hedefleme her ikisi de gerçekleşebilir, ancak ikisi de gerekli değildir. VPN örneğinde, saldırgan, doğrudan ağa giriş yapmak ve silahlanma ihtiyacını atlamak için kimlik bilgilerini tanımlayabilir. Benzer şekilde, rakipler, belirli bir hedefi özellikle hedeflemeden belli sayıda hedefe ulaştırılacak yetenekleri silahlandırabilir ve yalnızca ilk erişim kazandıktan sonra istenen bir hedefi seçebilir.
  • Siber Saldırı Aşaması : İlk erişimi sağlamak için, Siber Saldırı olarak bilinen Aşama 1’in üçüncü aşamasıdır. Saldırı, düşman tarafından başarılı veya başarısız bir şekilde savunucunun ağına veya sistemine erişme denemesidir. Örneğin, bir kimlik avı e-postası yöntemi ile hedefe zararlı PDF dosyasını gönderilmesidir. Bir sonraki adım, Exploit adımı, düşmanın kötü niyetli eylemlerde bulunmak için kullandığı yoldur. Bu araç, bir PDF veya başka bir dosya açıldığında bir güvenlik açığından yararlanma olabilir veya VPN’in kimlik bilgilerini kullanma gibi ağa varolan erişimden yararlanma olabilir. Sızma başarılı olduğunda, saldırgan, uzaktan erişim için Trojan kuracaktır. Saldırgan ayrıca mevcut yetenekleri değiştirebilir. Örneğin, daha yeni Windows ortamlarında PowerShell aracı, bir saldırgan için izinsiz girişlerini gerçekleştirmek için kötü amaçlı yazılıma güvenmelerine gerek duymadıkları için yeterli işlevsellik sağlar. Tehditleri savunanlar, tehlikeyi bulmak ve anlamak üzerine odaklanmalı ve her zaman tehdidin kötü amaçlı yazılım temelli olduğunu varsaymamalıdır.
  • Yönetim ve Etkinleştirme Aşaması : Başarılı bir siber saldırı ile, saldırgan bir sonraki aşama olan Yönetim ve Etkinleştirme’ye geçer. Burada aktör, önceden kurulmuş olan bir method ile bağlantı kurma ya da VPN gibi güvenilir iletişimin kötüye kullanılması gibi yöntemleri kullanarak komut ve kontrol (C2) kuracaktır. Yetenekli ve inatçı saldırganlar, eğer biri algılanırsa veya ortaya çıkarılırsa bağlantının kesilmemesini sağlamak için çoğu zaman birçok C2 yolu oluşturur. C2 yöntemlerinin her zaman yüksek çift yönlü iletişimi destekleyen doğrudan bir bağlantı gerektirmediğini not etmek önemlidir. Örneğin, korunan ağlara bazı erişim, tek yönlü iletişim yollarına güvenebilir ve komutların veya kodların iletilmesi ve iletilmesi için daha fazla zamana ihtiyaç duyar. Saldırganlar genellikle normal giden ve gelen trafiği gizleyerek, mevcut iletişimleri ele geçirerek C2’yi kurarlar. Bazı durumlarda, saldırganlar kendi iletişim köprülerini kurmak için ekipmanı implante ederek C2 kurarlar. Sürdürme, Katılma, Gelişme ve Yürütme aşaması, bir saldırganın sahip olabileceği bir takım son hedefleri belgelemektedir. Bu aşamada, düşman gibi hareket eder. Her saldırganın eylemlerinin tam listesi genelde hantal olur; bununla birlikte, ortak faaliyetler arasında yeni sistemlerin veya verilerin keşfedilmesi, ağ etrafında yanal hareket, ek yeteneklerin kurulması ve yürütülmesi, bu özelliklerin başlatılması, kullanıcı kimlik bilgileri gibi iletilen iletişimlerin alınması, istenen verilerin toplanması, verilerin çıkarılması yer almaktadır. Bu, EKS siber ​​ölüm zincirinin 2. Aşamasının planlanması ve uygulanması için kritik bir aşama olabilir. Savunucuların, EKS’yi tehlikeye atma girişiminde saldırganlara yardımcı olabilecek daha az korumalı ağlarda hangi bilgi ve araçların mevcut olduğunu değerlendirmesi hayati önem taşımaktadır. Bir saldırganın, EKS proje dosyaları teslim yolları veya bir entegratörün veya satıcının EKS’ye uzaktan erişim bağlantısı gibi gerekli bilgileri edinmek için Aşama 1’i bir tedarikçi veya ortak ağına karşı gerçekleştirebileceğini not etmek de önemlidir. Saldırgan, bir EKS’nin güvenliğini başarıyla tehlikeye attığında ve Aşama 2’ye geçebildiği zaman Aşama 1 tamamlanabilir. Aşama 1 en doğrudan, geleneksel BT ağlarında neyin ihlal edileceğine dair harita çizer. Savunucuların İnternet karşısında EKS bileşenlerine veya EKS ile ilgili bilgiye sahip olmaları ve başarılı bir şekilde tehlikeye atılmış bir üçüncü tarafın işlemden geçirilmeleri durumunda bu aşamanın atlanabileceğini vurgulamak önemlidir. Son BlackEnergy 2/3 zararlı yazılımlarında, İnternet’e duyarlı aygıtlardan yararlanmaya çalışmaktadır. Kötü amaçlı yazılımların ve ağ saldırılarının önemli bir kısmı Aşama 1’de gerçekleşmektedir, çünkü bu ülke-devlet düzeyinde istihbarat ve casusluk operasyonlarının gerçekleşmesi muhtemeldir. Ayrıca, suçluların para kazanabilecekleri bilgi edinme ihtimalinin yüksek olduğu yerdir. Bir EKS siber saldırısını gerçekleştirmeyi geleneksel BT siber saldırısından çok farklı kılan şey, EKS bileşenlerinin temel mühendislik ve süreç tarafından şekillendirilmiş olması ve saldırganın kendilerini anlamlı bir şekilde etkilemesi için kapsamlı bilgiye sahip olmalarını gerektiren benzersiz yöntem ve şekillerde tasarlanmasıdır. Ek olarak, düzgün bir şekilde yapılandırılmış bir EKS’de, bir saldırganın, EKS bileşenlerine erişmek için Aşama 1’de geçmesi gereken birçok sistem katmanı ve algılama sensörü vardır. Ne yazık ki, doğrudan bir EKS’yi İnternete bağlamak, doğru bir şekilde tasarlanan bir EKS’nin güvenlik açısından sahip olduğu doğal avantajları önemli ölçüde baltalamaktadır. Bu doğal olarak savunulabilir mimarilerden yararlanmaya devam etmek için, savunucuların yaptıkları tasarım seçimlerinde ve sistemleri nasıl entegre ettikleri konusunda dikkatli olmalıdırlar. Örneğin, güvenlik sistemlerini operasyonlarla aynı ağa entegre etmek, bir saldırganın sistemi tamamen tehlikeye atmak için harcaması gereken çabayı önemli ölçüde azaltır. Ayrıca, savunuculara saldırıyı tanımlama ve düzeltme konusunda daha az fırsat verir. Savunmak için bu fırsat kaybı, saldırıya eşzamanlı bir artışla birleşince, EKS güvenliğinde önemli bir düşüş meydana geliyor. Düzgün bir şekilde yapılandırılmış bir EKS ile, geleneksel olarak kendileri için tasarlanan güvenliğe sahip olmayan, önemli bir sorun olabilen ortamların bile anlamlı ve öngörülebilir bir şekilde etkilenmesi kolay değildir.
2. EKS Saldırı Geliştirme ve Yürütme Aşaması
Aşama 2’de, saldırganın EKS’ye anlamlı bir şekilde saldırabilecek bir yeteneği geliştirmek ve test etmek için Aşama 1’de edinilen bilgileri kullanması gerekir. Ne yazık ki, hassas ekipmanlar nedeniyle Aşama 1’deki olumsuz işlemlerin istenmeyen bir saldırıya yol açması mümkündür. Bu bir ulus-devlet siber operasyon için önemli bir risktir, çünkü böyle bir saldırı kasıtlı olarak algılanabilir ve öngörülemeyen sonuçları olabilir. Örneğin, bir EKS ağındaki ana bilgisayarları aktif olarak keşfetme denemesi, gerekli iletişimi bozabilir veya iletişim kartlarının bozulmasına neden olabilir. EKS uygulamaları ve altyapı elemanları ile yapılan basit etkileşimler, istenmeyen sonuçlara neden olabilir. Bu aktivite hala Aşama 1’de yer alacaktır ve yürütme adımında istenmeyen bir etki olacaktır. Kasıtlı saldırılar Aşama 2’de gerçekleşir ve aşağıdaki şekilde detaylandırabiliriz.

  • Saldırı Geliştirme ve Ayarlama Aşaması : Aşama 2, saldırganın belirli bir EKS uygulamasını ve istenen etkiyi etkileyecek şekilde uyarlanmış yeni bir yetenek geliştirdiği Saldırı Geliştirme ve Ayarlama aşaması ile başlar. Bu geliştirme büyük olasılıkla ayrıntılı veri yoluyla gerçekleşecektir. Yalnızca sistem sahibinin ve operatörün eylemlerini gözlemleme yeteneğinin çok düşük bir görüşüne sahip olan saldırganlar, canlı prodüksiyon testleriyle saldırılarını deneyecek ve geliştirecektir. Bu nedenle normal şartlar altında, saldırganın geliştirmesi ve ayarlanması özellikle zordur. Uzun süreli geliştirme ve test süresine olan ihtiyaç nedeniyle Aşama 1 ve Aşama 2 işlemleri arasında da önemli bir gecikme olabilir.
  • Doğrulama Aşaması : Bir saldırgan bir yetenek geliştirdiğinde, bir sonraki aşama doğrulama aşamasıdır. Burada, saldırganın, kabiliyetinin anlamlı ve güvenilir bir etkiye sahip olması durumunda, aynı veya benzer şekilde yapılandırılmış sistemlerde kabiliyetini test etmesi gerekir. Servislerin sistemlere reddedilmesi için arttırılmış ağ taraması gibi basit saldırılar bile, taramanın sistemlere verilen hizmeti reddedebileceğini doğrulamak için bir test seviyesine ihtiyaç duyar. Bununla birlikte, daha önemli etkiler için, saldırganın fiziksel EKS ekipmanı ve yazılım bileşenlerini elde edebileceği önemli testler oluşabilir. Savunucuların çoğunun EKS satıcı topluluğuyla ilgili görüş sahibi olması zor olsa da, çeşitli devlet kuruluşları, önceden kurulmuş bir Aşama 1 operasyonu için Aşama 2 saldırısına işaret edebilecek bu tür ekipmanların olağandışı alımlarını belirlemek için kaynaklarını ve yöntemlerini kullanabilir.
  • EKS Atağı : En son aşama, saldırganın yeteneği sağlayacağı, yükleyeceği veya mevcut sistem işlevselliğini değiştireceği ve ardından saldırıyı gerçekleştireceği EKS Saldırısıdır. Saldırı, nihai etkilerini arttırmak için etkinleştirme, başlatma veya destekleme saldırı kategorilerine giren birçok yüzeye (hazırlık veya eş zamanlı saldırı) sahip olabilir. Bunlar, sürecin belirli bir unsurunu manipüle etmek, proses ayar noktalarında ve değişkenlerinde değişiklik başlatmak veya ihtiyaç duyulan durumları tesis operatörlerinin her şeyin normal olduğunu düşünmeye zorlamak için durum bilgisini aldatma gibi taktikler tarafından zaman içinde saldırıyı desteklemek için gerekli koşulları tetiklemek için gerekli olabilir. Bir saldırı başlatmanın karmaşıklığı, sistemin güvenliği, izlenen ve kontrol edilen süreç, emniyet tasarımı, kontrolleri ve amaçlanan etki ile belirlenir. Bir EKS ortamına saldırmanın çeşitli yolları olmasına rağmen, işlevsel etkiyi elde etmek için en yaygın yöntemler üç kategoriye ayrılır: kayıp, inkâr ve manipülasyon. Bunlar arasında görüş kaybı, görüş reddi, görüş manipülasyonu, kontrol reddi, kontrol kaybı, kontrol manipülasyonu, emniyet aktivasyonu, emniyet reddi, emniyet manipülasyonu ve sensörlerin ve cihazların manipülasyonu bulunur. BT ile EKS işleten işletme teknolojisi (OT) arasındaki etkilerde içsel bir kontrast vardır. Örnek olarak, bir BT sistemine servisin reddedilmesi bir iş süreci için son derece önemli olabilir, oysa EKS’de sensörlerin veya işlemlerin manipülasyonu daha rahatsız edicidir çünkü insan yaşamını korumak veya uyarmak için tasarlanan güvenlik sistemlerinin arızalanmasına neden olabilir ve personellerin yaralanmasına kadar işin boyutu büyüyebilir. EKS topluluğu, bir bütün olarak, bir saldırganın kullanabileceği olanakların kapsamını tam olarak anlamamaktadır. Enerji şebekesi arızası ve baraj taşma senaryoları genel olarak tartışılmaktadır, ancak ölümcül kimyasalların serbest bırakılması, imalat mallarının zaman içinde yavaşça bozunması veya değiştirilemeyen karışımlardan kaynaklanan kullanılamaz ürünler nedeniyle ortaya çıkan maddi zararlar gibi diğer etkiler ve senaryolarda bulunmaktadır. Bu nedenle, IT ve OT güvenlik personelinin ve ulusal politika belirleyicilerin, saldırganların potansiyel ulaşılabilir hedeflerini anlamalarına yardımcı olmak için çeşitli tesislerde zararlı olabilecek senaryoları ortaya çıkarmak için mühendislik topluluğuyla tamamen meşgul olmaları esastır. Bu EKS saldırılarını anlamanın ve EKS Siber Ölüm Zincirini görselleştirmenin yanı sıra EKS saldırılarını ve saldırılarını hedef alan çalışmaları incelemek de etkili bir yoldur.
3. ICS Siber Ölüm Zinciri Örneği (HAVEX Zararlısı)
EKS ağlarına önceki izinsiz girişleri analiz etmek, savunma için uygulanabilir bir model olarak EKS Siber Ölüm Zincirine ilişkin doğrulama ve öngörü sağlar. EKS topluluğu tarihsel olarak ağlarında görünürlükten yoksundur ve uzlaşmayı izleyen seyrek adli kanıt ve verilere sahip olmaktan muzdariptir. Bu nedenle, bu vaka çalışmalarından elde edilen her kanıtı doğru bir şekilde belirlemek ve çıkarmak mümkün değildir. Ancak, onları yüksek düzeyde anlamak yeterlidir. Tipik bir EKS ağının düzenini ve yapısını anlamak önemlidir. Bir EKS ağının mimarisini göstermek için Purdue Referans Modelini kullanabiliriz. Bu bölümdeki vaka çalışmasında Purdue Modeli, EKS’nin etkilendiği mimari seviyeyi gösterecek ve bu sayede EKS Siber Ölüm Zinciri aşamalarını inceleyeceğiz.
EKS için bir tehdit olan Havex, dünyadaki binlerce siteden hassas veri ve ağ mimarisi bilgilerini toplamak için kullanılan ve genel olarak casusluk için kullanılan, uzaktan erişim sağlayan bir Trojandır. Ayrıca EKS ortamlarına özgü yeni kod ve modüller ekleyerek EKS’yi hedeflemek için kodlanmıştır. Havex’in arkasındaki oyuncular, Havex zararlı yazılımlarını ağlara yerleştirmek için birçok yöntem kullanmıştır. En yaygın üçü aşağıdaki gibidir:

  • Zararlı bir dosya eklenmiş olarak oltalama e-postaları gönderme
  • EKS satıcısı web sitelerine kötü amaçlı yazılımlar bulaştırmak ve bu web sitelerini ziyaret ettiklerinde EKS sistemelerini tehlikeye atmak (watering hole tekniği olarak bilinir)
  • Personel yükleyiciyi çalıştırdığında, ana sisteme bulaşan EKS yazılımı yükleyicilerinin trojanlı bir sürümünü sağlama

Gözlemlenen teknikler, saldırganların, mühendislerin genel olarak güven niteliği ve EKS tedarik zincirine olan güven gibi, sömürülmesi gereken zayıf yönleri belirleme planlama aşamasında başarılı olduklarını göstermektedir. Ek olarak, EKS Siber ölüm zincirine karşı eşleştirmek için üç izinsiz giriş sunar.
İlk izinsiz girme durumunda, spearphishing e-postası, saldırgan ilk önce iyi hedefleri belirlemek ve kimlik avı e-postalarını uyarlamak için keşif yapmıştır. Daha sonra, oyuncular bir dosyayı bir istismarla birleştirip oltalama e-postasını ekleyerek silahlaştırma yaptılar. Hangi kişilerin e-postayı alacağını seçmek için belirli bir hedefleme gerçekleştirildi. E-postanın kendisi dağıtım mekanizmasıydı ve kullanıcı e-postaya ekli dosyayı açtığında, Havex kötü amaçlı yazılımını yüklemek için sistemden faydalandı. Ardından, Havex kötü amaçlı yazılımı yüzlerce C2 sunucusundan biriyle iletişim kurmaya çalıştı. Havex daha sonra EKS bileşenlerini keşfetmek, bilgileri toplamak ve rakiplerin toplaması için C2 sunucusuna boşaltmak için ortamı taradı. Kimlik avı e-postalarına dayalı izinsiz giriş çoğunlukla dış ağı etkiledi. Bu yöntemin, kuruluşların iş ağında mühendislik dosyaları tuttukları durumlar hariç, EKS hakkında özel bilgi sağlama olasılığı daha düşüktü.
İkinci izinsiz giriş yapan virüslü web siteleri ilk izinsiz girişleri yakından takip etti, ancak Aşama 1’i uygulamak için başka yöntemler kullandı. Dikkat edin, EKS satıcı web sitelerine yapılan izinsiz girişimin kendi ölüm zincirine sahip olduğunu ve saldırganlarında EKS şebekelerine karşı izinsiz girişimi sağlamak olduğunu gösteriyor. EKS ağlarına karşı ölüm zincirinin, hangi EKS ağlarının istendiğini ve hangi EKS sağlayıcılarını kullandıklarını tanımlamak için keşif yapması gerekecekti. Oradan, satıcı web siteleri bu satıcıları kullanan EKS ağlarını hedeflemek amacıyla silahlanmaya konu olmuştur. Bu senaryoda teslim mekanizması, web sayfasına erişmek için HTTP protokolünü kullanan İnternet bağlantısıydı.
Web siteleri, Metasploit olarak bilinen ortak bir penetrasyon testi çerçevesinden çıkan suistimaller kullanılarak silahlandırıldı. Bilinen güvenlik açıklarına karşı yeniden kullanılan suistimaller, saldırgan daha sonra Havex’i C2’yi kurduğu ve ilk izinsiz girişinde gözlemlenen aynı eylemleri tamamladığı ortama monte etmesine izin vermek için suistimal olarak davrandı. Bu sızma, satıcı web sitelerini ziyaret eden mühendisler ve operatörler nedeniyle EKS’ye erişme şansı daha yüksekti. Bu saldırı çoğunlukla EKS ağlarının DMZ’sini etkiledi, ancak Purdue Modelini veya derinlemesine savunma tarzı bir mimariyi kullanmayan kuruluşlar için EKS’ye daha derinden erişebildi.
Üçüncü saldırı en yaratıcıydı. Satıcı web sitelerine EKS yazılım kurulum dosyalarına truva atılmış bir versiyonunu yerleştirdi. Keşif, ikinci saldırıdakiyle aynı şekilde gerçekleşmek zorunda kalacaktı. Yine de bu durumda, bu tür EKS yazılımlarını kullanan EKS ağlarını hedefleme niyetiyle silahlanma konusu olan yükleyiciydi. Teslimat mekanizması, istismar, kurulum, C2 ve ilgili eylemler, diğer izinsiz girişlerde olduğu gibi gerçekleşti. Ancak bu senaryodaki fark, yalnızca iş ağından veya DMZ’den İnternet erişimine izin veren iyi yapılandırılmış ağların bile, Purdue Modelinin alt bölgelerinde bulunan Havex’e maruz kalmasıydı. Bu dağıtım tekniği, İnternet ortamına bağlı bilgisayarlarından fiziksel olarak dosyaları ICS ağına fiziksel olarak aktarmak için mühendisleri kullanarak, çevre aygıt korumaları gibi planlanan güvenlik kontrollerini yenmek için yapılan ilk girişimlerden daha gelişmiştir. Bu durumda Exploit, Install, C2 ve Act adımları ICS ağlarına dahil edilmiştir. Rapor edilen enfeksiyonların çoğunluğu, mühendislerin ve operatörlerin mühendislik iş istasyonları ve insan makine arayüzleri (HMI’ler) gibi sistemlere eriştiği denetim düzeyinde gerçekleşti. Saldırgan kuşkusuz bu üçüncü saldırıdan büyük miktarda veri topladı. Bu nedenle gözlenen yöntem izinsiz giriş yöntemiydi.
Bugüne kadar, güvenlik araştırmacıları, Havex oyuncuları tarafından takip edilen eylemlerin kanıtlarını görmedi. Araştırmacılar Havex’in genel olarak başarılı bir Aşama 1 EKS saldırısı olarak nitelendirilebileceğine inanıyor. Bugüne kadar Aşama 2’nin faaliyetine dair kanıtlanmış bir kanıt yoktur. Üç saldırı için Purdue Modeline eşlenen Havex için EKS Siber Ölüm Zincirinin bir temsili, aşağıdaki şekilde gösterilmektedir.


Referans : Kaynak içeriği SANS Instute çalışmaları incelenerek hazırlanmıştır ve yazıda kullanılan şekiller SANS Instute’den alıntı yapılarak kullanılmıştır.