SCADA/ICS altyapısı sürekli tehdit altındadır. Bu sistemler, herhangi bir ulusun ekonomik sağlığı ve refahı için çok önemlidir ve herhangi bir siber savaşta birincil hedeftir. Bu sistemler arasında elektrik şebekesi, atık su sistemleri, imalat, petrokimya arıtma, kimyasal işleme ve hemen hemen tüm endüstriyel işlemler yer alır. Bir düşman bu sistemleri devre dışı bırakabilirse, ülkenin ekonomisi ve kendisini rakiplerinden koruma yeteneği üzerinde yıkıcı bir etkisi olabilir.
Endüstriyel sektörü hedefleyen kötü amaçlı yazılımlar giderek daha karmaşık hale gelmeye devam ediyor. Endüstriyel altyapıya yönelik bu son tehdit, ilk olarak Aralık 2017’de ortaya çıktı ve Triton veya Tritonex olarak adlandırıldı. 24 Temmuz 2020’de ABD Ulusal Güvenlik Ajansı ve ABD Kritik Altyapı Güvenlik Ajansı (CISA), bu kötü amaçlı yazılımın tüm ulusların altyapısına yönelik bir tehdit oluşturduğu konusunda ülkeleri uyardı.
Kötü amaçlı yazılım, Schneider Electric’in Triconex TriStation’ındaki bir güvenlik açığından yararlanıyor. Bu kötü amaçlı yazılım 2017’den beri var olmasına rağmen, Windows NT, Windows XP veya Windows 7 üzerinde çalışan TriStation 1131, v1.0.0-v4.9.0, v4.10.0 ve 4.12.0’ı etkileyen yeni bir hata grubu. Tricon İletişim Modülü (TCM) Modellerinde(4351, 4352, 4351A/B ve 4352A/B) Tricon v10.0-v10.5.3 kullanılmaktadır.
Triton/Triconex Nedir?
Triton veya Tritonex, ilk olarak Aralık 2017’de Suudi Arabistan’daki bir petrokimya tesisinde keşfedilen kötü amaçlı yazılımdır. Bu kötü amaçlı yazılım, Schneider Electric Safety Instrumented System’e (SIS) saldırır. Bu sistemler, güvenli olmayan koşullarda endüstriyel tesisleri kontrol ederek veya kapatarak insanları, endüstriyel tesisleri ve çevredeki toplulukları korumak için tasarlanmıştır. Özünde, bu SIS sistemleri endüstriyel felaketlere karşı bir korumadır.
Örneğin, bir boru veya kap içindeki basıncın tehlikeli derecede yükseldiği bir durumu düşünün. SIS sistemi, böyle bir durumu tespit etmek ve tehlikeli durumu ortadan kaldırmak için basınç tahliye valflerini etkinleştirmek ve böylece bir felaketi önlemek için tasarlanmıştır.
Triconex, hem güvenlik, kritik kontrol ve turbo makine uygulamaları için bu ürünleri, sistemleri ve hizmetleri sağlayan bir Schneider Electric markasının hem de TriStation uygulama yazılımını kullanan donanım cihazlarının adıdır.
Schneider Electric’e göre bu Triconex ürünleri, patentli Üçlü Modüler Yedeklilik (TMR) endüstriyel güvenlik kapatma teknolojisine dayanmaktadır. Bugün, Triconex TMR ürünleri dünya çapında 11.500’den fazla kurulumda faaliyet göstermekte ve Triconex’i dünyanın en büyük TMR tedariğini yapmaktadır.
Özellikleri
İlişkilendirme her zaman zor bir uygulama olsa da, FireEye kötü amaçlı yazılımın büyük olasılıkla Rusya’daki bir araştırma kuruluşu olan Kimya ve Mekanik Merkezi Bilimsel Araştırma Enstitüsü’nden (CNIIHM) geldiğini bildirdi.
Saldırganlar orada bir SIS (Güvenlik Enstrümanlı Sistem) denetleyicileri mühendislik iş istasyonuna uzaktan erişim sağladı ve SIS denetleyicilerini yeniden programlamak için TRITON saldırı çerçevesini kullandı. Bu şekilde, kontrolörler devre dışı bırakılabilir veya tasarlandıkları bu tür güvenli olmayan koşulları görmezden gelmek üzere programlanabilir.
Triton Sistemlerini Bulma
Dünya çapında 11.000’den fazla Triton SIS sistemi vardır, yani neredeyse her ülkeye ve endüstriyel tesis tipine dağıtılır. Bu tesislerin bazılarını Censys kullanarak kolayca bulabiliriz. Aşağıda görebileceğiniz gibi, bu savunmasız SIS sistemini kullanan ABD’nin Virginia eyaletindeki bir tesis için yapılan sızma testi.
Özetle
SCADA/ICS sistemleri, herhangi bir siber saldırıda birincil hedeftir. Hem Stuxnet hem de Blackenergy3, siber savaş adına etkili SCADA/ICS saldırılarıydı. Şu anda kritik altyapıya saldıran Triton/Triconex, uzun bir SCADA/ICS saldırıları dizisinin yalnızca sonuncusudur. Siber güvenlik mühendislerinin bu tür saldırıları anlaması ve bunlara karşı koruma sağlaması çok önemlidir. Ne yazık ki, çoğu siber güvenlik mühendisi, bu sistemlere yönelik tehdidin ve dinamiklerinin tamamen farkında değil.