PseudoManuscrypt’in standart dışı saldırısı

Bir siber saldırı, beklenmedik şekilde çok sayıda endüstriyel kontrol sistemini etkiledi.

Haziran 2021’de uzmanlarımız, PseudoManuscrypt adında yeni bir kötü amaçlı yazılım keşfetti. PseudoManuscrypt’in yöntemleri, bir casus yazılım için oldukça standart. Bir tuş kaydedici işlevi görüyor, kurulan VPN bağlantıları ve kayıtlı şifreler hakkında bilgi topluyor, panoya kopyalanan içeriği çalıyor, bilgisayardaki yerleşik mikrofonu (varsa) kullanarak ses kaydediyor ve görüntü alıyor. Casus yazılımın farklı biri varyantı ayrıca QQ ve WeChat mesajlaşma uygulamalarına ait kimlik bilgilerini çalabiliyor, ekran görüntüsünü video olarak kaydedebiliyor ve güvenlik çözümlerini devre dışı bırakmaya çalışan bir işlevi bulunuyor. Daha sonra topladığı verileri saldırganların sunucusuna gönderiyor.

Saldırının teknik ayrıntıları ve risk göstergeleri için ICS CERT raporumuza göz atın.

Casus yazılımın ismi nereden geliyor?

Uzmanlarımız, yeni saldırı ile daha önceden bilinen Manuscrypt saldırısı arasında bazı benzerlikler bulsa da yapılan analizler, tamamen farklı bir aktörün, APT41 grubunun daha önce düzenlediği saldırılarda, kötü amaçlı yazılım kodunun bir kısmını kullandığını ortaya koydu. Yeni saldırının sorumluluğunun kime ait olduğunu henüz belirleyemedik, bu yüzden şimdilik PseudoManuscrypt diyoruz.

PseudoManuscrypt bir sisteme nasıl bulaşıyor?

Casus yazılımın bir sisteme bulaşması oldukça karmaşık bir olaylar zincirine dayanıyor. Bir bilgisayara düzenlenen saldırı, genellikle kullanıcı, popüler yazılımların korsan sürümleri gibi hazırlanmış kötü amaçlı bir yazılımı indirip çalıştırmasıyla başlıyor.

İnternette korsan bir yazılım arayarak PseudoManuscrypt’i bulabilirsiniz. Popüler aramalarla eşleşen kötü amaçlı kod dağıtan internet siteleri, arama motoru sonuçlarında üst sıralarda yer alıyor; görünüşe göre arama sonuçlarındaki sıralama, saldırganların takip ettiği bir şey.

Buradan endüstriyel sistemlere bulaşmak için neden bu kadar çok girişimde bulunulduğunu açıkça görebilirsiniz. Saldırganlar, popüler yazılımlar gibi görünen kötü amaçlı yazılımlar (ofis paketleri, güvenlik çözümleri, navigasyon sistemleri ve 3D birinci şahıs nişancı oyunları (first-person shooter) gibi) sunmanın yanı sıra, profesyonel yazılımlara yönelik, ModBus kullanarak programlanabilir mantık denetleyicileriyle (PLC) etkileşime girmek için belirli yardımcı programlar da dahil olmak üzere sahte yükleme paketleri de sunuyorlar. Sonuç: Anormal derecede yüksek sayıda virüslü endüstriyel kontrol sistemi (ICS) bilgisayarı (toplam içindeki payı %7,2).

Korsan yazılımlara ilişkin arama sonuçları PseudoManuscrypt’e arama sonucunda çıkan ilk bağlantıdan ulaşılabilir. Kaynak.

 

Yukarıdaki ekran görüntüsünde yer alan örnekte, sistem yöneticileri ve ağ mühendislerine yönelik yazılım yer alıyor. Teoride böyle bir saldırı vektörü, saldırganların şirketin altyapısına tam erişim elde etmesini sağlayabilir.

Saldırganlar ayrıca, PseudoManuscrypt’in yayılması için diğer siber suçlulara ödeme yapıldığı Hizmet Olarak Kötü Amaçlı Yazılım (MaaS) dağıtım mekanizmasını da kullanıyor. Bu uygulama, uzmanlarımızın MaaS platformunu analiz ederken buldukları ilginç bir özelliğin ortaya çıkmasına neden oldu: Bazen PseudoManuscrypt, kurbanın yüklediği tek bir paket içinde diğer kötü amaçlı yazılımlarla birlikte geliyordu. PseudoManuscrypt’in amacı casusluk olsa da diğer kötü amaçlı programlar, para sızdırmak için veri şifreleme gibi başka hedeflere yönelirler.

PseudoManuscrypt kimleri hedefliyor?

PseudoManuscrypt’in en sık görüldüğü ülkeler Rusya, Hindistan, Brezilya, Vietnam ve Endonezya’da olarak karşımıza çıkıyor. Kötü amaçlı kod çalıştırmaya yönelik çok sayıda girişimin içinde endüstriyel şirketlerdeki kullanıcılar önemli bir paya sahip. Bu sektördeki mağdurlar arasında bina otomasyon sistemi yöneticileri, enerji şirketleri, üreticiler, inşaat şirketleri ve hatta su arıtma tesislerinin hizmet sağlayıcıları yer alıyor. Ayrıca etkilenenler arasında, mühendislik süreçlerinde ve endüstriyel şirketlerde yeni ürünlerin üretiminde kullanılan çok sayıda bilgisayar bulunuyor.

PseudoManuscrypt’e karşı uygulanacak savunma yöntemleri

PseudoManuscrypt’e karşı koruma sağlamak için, güvenilir ve düzenli olarak güncellenen koruma çözümlerine sahip olmanız ve bu çözümlerin şirketteki sistemlerinin tamamına kurulmuş olması gerekiyor. Buna ek olarak, korumayı devre dışı bırakmayı zorlaştıran politikalar oluşturmanızı öneriyoruz.

Endüstrideki BT sistemleri için, hem bilgisayarları koruyan (özelleştirilmiş olanlar dahil) hem de belirli protokolleri kullanarak veri aktarımlarını izleyen Kaspersky Industrial CyberSecurity adında özel bir çözüm sunuyoruz.

Ayrıca, siber güvenlik riskleri konusunda çalışanların güvenlik bilincinin artırılmasının önemini de unutmayın. Zekice tasarlanmış kimlik avı saldırılarının yaşanması ihtimalini tamamen ortadan kaldıramazsınız, ancak personelin tetikte kalmasına yardımcı olabilir ve aynı zamanda endüstriyel sistemlere erişimi olan bilgisayarlara yetkisiz (ve özellikle korsan) yazılım yükleme tehlikesi konusunda onları eğitebilirsiniz.

İpuçları