OzzTech - Scada Sistemler ve Triton-Triconex

Scada Sistemler ve Triton-Triconex

Scada Sistemler ve Triton-Triconex

SCADA/ICS altyapısı sürekli tehdit altındadır. Bu sistemler, herhangi bir ulusun ekonomik sağlığı ve refahı için çok önemlidir ve herhangi bir siber savaşta birincil hedeftir. Bu sistemler arasında elektrik şebekesi, atık su sistemleri, imalat, petrokimya arıtma, kimyasal işleme ve hemen hemen tüm endüstriyel işlemler yer alır. Bir düşman bu sistemleri devre dışı bırakabilirse, ülkenin ekonomisi ve kendisini rakiplerinden koruma yeteneği üzerinde yıkıcı bir etkisi olabilir.

Endüstriyel sektörü hedefleyen kötü amaçlı yazılımlar giderek daha karmaşık hale gelmeye devam ediyor. Endüstriyel altyapıya yönelik bu son tehdit, ilk olarak Aralık 2017'de ortaya çıktı ve Triton veya Tritonex olarak adlandırıldı. 24 Temmuz 2020'de ABD Ulusal Güvenlik Ajansı ve ABD Kritik Altyapı Güvenlik Ajansı (CISA), bu kötü amaçlı yazılımın tüm ulusların altyapısına yönelik bir tehdit oluşturduğu konusunda ülkeleri uyardı.

Kötü amaçlı yazılım, Schneider Electric'in Triconex TriStation'ındaki bir güvenlik açığından yararlanıyor. Bu kötü amaçlı yazılım 2017'den beri var olmasına rağmen, Windows NT, Windows XP veya Windows 7 üzerinde çalışan TriStation 1131, v1.0.0-v4.9.0, v4.10.0 ve 4.12.0'ı etkileyen yeni bir hata grubu. Tricon İletişim Modülü (TCM) Modellerinde(4351, 4352, 4351A/B ve 4352A/B) Tricon v10.0-v10.5.3 kullanılmaktadır.

Triton/Triconex Nedir?

Triton veya Tritonex, ilk olarak Aralık 2017'de Suudi Arabistan'daki bir petrokimya tesisinde keşfedilen kötü amaçlı yazılımdır. Bu kötü amaçlı yazılım, Schneider Electric Safety Instrumented System'e (SIS) saldırır. Bu sistemler, güvenli olmayan koşullarda endüstriyel tesisleri kontrol ederek veya kapatarak insanları, endüstriyel tesisleri ve çevredeki toplulukları korumak için tasarlanmıştır. Özünde, bu SIS sistemleri endüstriyel felaketlere karşı bir korumadır.

Örneğin, bir boru veya kap içindeki basıncın tehlikeli derecede yükseldiği bir durumu düşünün. SIS sistemi, böyle bir durumu tespit etmek ve tehlikeli durumu ortadan kaldırmak için basınç tahliye valflerini etkinleştirmek ve böylece bir felaketi önlemek için tasarlanmıştır.

Triconex, hem güvenlik, kritik kontrol ve turbo makine uygulamaları için bu ürünleri, sistemleri ve hizmetleri sağlayan bir Schneider Electric markasının hem de TriStation uygulama yazılımını kullanan donanım cihazlarının adıdır.

Schneider Electric'e göre bu Triconex ürünleri, patentli Üçlü Modüler Yedeklilik (TMR) endüstriyel güvenlik kapatma teknolojisine dayanmaktadır. Bugün, Triconex TMR ürünleri dünya çapında 11.500'den fazla kurulumda faaliyet göstermekte ve Triconex'i dünyanın en büyük TMR tedariğini yapmaktadır.

Özellikleri

İlişkilendirme her zaman zor bir uygulama olsa da, FireEye kötü amaçlı yazılımın büyük olasılıkla Rusya'daki bir araştırma kuruluşu olan Kimya ve Mekanik Merkezi Bilimsel Araştırma Enstitüsü'nden (CNIIHM) geldiğini bildirdi.

Saldırganlar orada bir SIS (Güvenlik Enstrümanlı Sistem) denetleyicileri mühendislik iş istasyonuna uzaktan erişim sağladı ve SIS denetleyicilerini yeniden programlamak için TRITON saldırı çerçevesini kullandı. Bu şekilde, kontrolörler devre dışı bırakılabilir veya tasarlandıkları bu tür güvenli olmayan koşulları görmezden gelmek üzere programlanabilir.

Triton Sistemlerini Bulma

Dünya çapında 11.000'den fazla Triton SIS sistemi vardır, yani neredeyse her ülkeye ve endüstriyel tesis tipine dağıtılır. Bu tesislerin bazılarını Censys kullanarak kolayca bulabiliriz. Aşağıda görebileceğiniz gibi, bu savunmasız SIS sistemini kullanan ABD'nin Virginia eyaletindeki bir tesis için yapılan sızma testi.

Özetle

SCADA/ICS sistemleri, herhangi bir siber saldırıda birincil hedeftir. Hem Stuxnet hem de Blackenergy3, siber savaş adına etkili SCADA/ICS saldırılarıydı. Şu anda kritik altyapıya saldıran Triton/Triconex, uzun bir SCADA/ICS saldırıları dizisinin yalnızca sonuncusudur. Siber güvenlik mühendislerinin bu tür saldırıları anlaması ve bunlara karşı koruma sağlaması çok önemlidir. Ne yazık ki, çoğu siber güvenlik mühendisi, bu sistemlere yönelik tehdidin ve dinamiklerinin tamamen farkında değil.


İlginizi Çekebilecek Makaleler
FortiGate ACME Sertifika Desteği
Siber Güvenlik

FortiGate ACME Sertifika Desteği

Ocak 24, 2022 1:22

Otomatik Sertifika Yönetim Ortamı (ACME), RFC 8555’te tanımlandığı üzere, ücretsiz SSL sunucu sertifikaları sağlamak için genel Let’s...

Android Reverse Mühendisliği Araçları Örnek Vakalar
Siber Güvenlik

Android Reverse Mühendisliği Araçları Örnek Vakalar

Ocak 24, 2022 12:39

Bir önceki yazıda yeni çıkan android reverse mühendisliği araçları hakkında bilgi vermiştim. Bu yazımda...

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor
Siber Güvenlik

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor

Ocak 24, 2022 9:44

Emotet kötü amaçlı yazılım botnetinin dağıtımını içeren sosyal mühendislik kampanyaları, güvenlik çözümlerinin tespitinden kaçınmak...

FortiWeb Kurulumu 5-Operation Modu
Siber Güvenlik

FortiWeb Kurulumu 5-Operation Modu

Ocak 24, 2022 7:49

FortiWeb kurulumunu anlattığımız beşinci yazımızda operation modu ve FortiWeb cihazı açıldıktan sonra, FortiWeb cihazını...

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme
Siber Güvenlik

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme

Ocak 23, 2022 10:21

FortiWeb kurulumunu anlattığımız serinin dördüncü yazısında Admin şifresi nasıl değiştirceğinizi, saat ve günü nasıl...

Metasploittable 2
Siber Güvenlik

Metasploittable 2

Ocak 22, 2022 11:57

Metasploittable 2 Nedir? Neden Kullanılır? Nasıl Kurulur? Metasploittable 2 Metasploit firması tarafından bizlerin güvenli...

FortiWeb Kurulumu 3- Firmware Güncellenmesi
Siber Güvenlik

FortiWeb Kurulumu 3- Firmware Güncellenmesi

Ocak 22, 2022 11:56

FortiWeb kurulumunu anlattığımız serinin üçüncü yazısında Firmware güncellemesini anlatacağız. FortiWeb cihazınız gönderildiğinde en son...

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama
Siber Güvenlik

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama

Ocak 21, 2022 7:50

FortiWeb kurulumu yazımızın ikinci serisinde Web UI veya CLI bağlamanın nasıl yapılacağını anlatacağız. Eğer...

Yapay Zeka Nedir?
Yazılım Geliştirme

Yapay Zeka Nedir?

Ocak 20, 2022 10:57

Sürekli olarak değişen, gelişen ve oldukça hızlı bir şekilde boyut atlayan, günümüze kadar gelen...

İletişim
OZZTECH Bilgi Teknolojileri olarak siber güvenlik danışmanlığı ve bilgi güvenliği eğitimleri alanlarında 10 yılı aşkın bir süredir ülkemizin önde gelen kurumlarına hizmet vermeye devam etmektedir. Detaylı bilgi ve danışmanlık hizmetlerimiz için aşağıdaki formu kullanarak veya [email protected] adresimiz üzerinden bizlerle iletişime geçebilirsiniz.