ABD: Çin destekli tehdit aktörleri 2011-2013 yılları arasında 13 boru hattı operatörünü ihlal etti
ABD Hükümeti’nin 20 Temmuz günü yaptığı açıklamada, 2011-2013 yılları arasında en az 13 petrol ve doğal gaz boru hattı operatörüne ait sistemlerin Çin devleti destekli tehdit aktörleri tarafından ihlal edildiğini belirtti.
Özellikle son günlerde ABD tarafından doğrudan Çin’i suçlayan önemli gelişmeler yaşandı. İlk olarak Microsoft Exchange saldırılarıyla ilgili resmi olarak Çin’in suçlanması, ikinci olarak ABD Adalet Bakanlığı, Çin merkezli tehdit aktörü APT40’ın dört üyesi hakkında soruşturma başlatmıştı. Bu gelişmelerden hemen bir gün sonra yani 20 Temmuz günü de daha önce herkese açık yayınlanmamış bu raporun yayınlanması oldu.
CISA ve FBI tarafından ortaklaşa yayınlanan rapor neticesinde;
1- Aralık 2011 ve 2013 yılları arasında Çin Devleti destekli tehdit aktörleri tarafından daha önce açıklanmayan siber saldırılar herkese açık olarak yayınlandı.
2- Bu yıllar arasında toplamda 23 boru hattı operatörüne ait sistemlerin ihlal edildiği belirlenmiş. Bunlar arasında tehdit aktörleri tarafından 13 tanesine başarılı şekilde izinsiz girdikleri, 3 tanesinin muğlak olduğu ve 7 tanesininde veri eksikliği sebebiyle yapılan izinsiz girişlerin boyutlarının bilinmediği belirtiliyor.
3- Tehdit aktörlerinin ABD boru hattı altyapısını hedeflemelerinin ana amacının ABD boru hattı altyapısını risk altında tutmak olarak değerlendiriyor. Bununla birlikte Çin’in bu faaliyetlerle ABD boru hatlarına karşı siber saldırı yetenekleri geliştirmesine yardımcı olmayı amaçladığı değerlendiriyor.
4- Tehdit aktörlerinin hedef odaklı kimlik avı kampanyalarına Aralık 2011’de başladıkları keşfedilmiş. 9 Aralık 2011’den takip edilebilen tarih olarak en erken 9 Şubat 2012’ye kadar petrol ve doğal gaz boru hattı kuruluşları ve çalışanlarına karşı içerisinde zararlı yazılım barındıran hedef odaklı kimlik avı kampanyaları keşfedilmiş.
5- Tehdit aktörleri kimlik avı kampanyaları dışında özel bilgiler elde etmek amacıyla da sosyal mühendislik saldırıları da gözlemlemiş. Bu kısımda yöneticiler dışında özellikle network ve network güvenliği tarafında çalışan kişilere odaklanırlarken, diğer departmanlardakiler ile pek iletişime geçmemişler.
İlgili departmandaki kişileri arayan tehdit aktörleri, ağ güvenliği uygulamaları hakkında ulusal bir anket gerçekleştiren büyük bir bilgisayar güvenlik firmasının çalışanı olarak kendilerini tanımlamışlar. Kuruluşun güvenlik duvarı kullanımı ve ayarlarına ilişkin politikası ve uygulamaları, ağlarını korumak için kullanılan yazılım türleri ve izinsiz giriş algılama ve/veya önleme sistemlerinin kullanımı ve türü hakkında bilgiler almaya çalışmışlar.
6- Araştırmalar sırasında tehdit aktörlerinin özel olarak SCADA ile ilgili bilgileri, personel listeleri, kimlik bilgileri ve sistem kılavuzlarını toplamaya da yoğun bir şekilde odaklanmışlar.