bu Enerji sektöründe faaliyet gösteren şirketlere yönelik saldırı riski yüksektir., özellikle mevcut jeopolitik bağlam ışığında. Bu tür şirketler, kendini şu işe adamış suç grupları için stratejik bir hedeftir: gasp faaliyetleri amacıyla faaliyet gösteren yasal aktörler için olduğu kadar, sabotaj ve istihbarat.
Dark Web’in istihbarat şirketi Searchlight Cyber ilginç bir rapor yayınladı hangi analizler kötü niyetli aktörler karanlık ağda gelişen bir ekosistemi nasıl buluyor? tam olarak enerji sektöründeki kuruluşlara yönelik saldırılar hazırlamak için.
Uzmanlar, çeşitli türden saldırganların karanlık ağı önceden güvenliği ihlal edilmiş ağlara erişim elde edin o saldırılar için yararlı olan kaynakları ve bilgileri elde edin.
Bir saldırının çeşitli aşamaları için destek sunan bilgisayar korsanlarından çeşitli aktör kategorileri büyüteç altında kaldı.erişim komisyoncusu.”
Siber suç ekosisteminde bir “erişim aracısının” rolü çok önemlidir, bu aktörler bilgisayar ağlarına veya sistemlerine ilk erişimin satışını veya değişimini kolaylaştırmak. Satışa sundukları bilgiler, ya hedef sistemlerin daha önce ele geçirilmesinden gelir ya da kötü amaçlı kod ya da hedef odaklı kimlik avı kampanyaları gibi çeşitli tekniklerle çalınır.
Bu komisyoncular bir kuruluşun ağlarına ve alıcılarına yetkisiz erişim sağlayan siber suçlular arasında aracı görevi görürler. saldırıyı başlatmak için bu erişimi satın almak veya kullanmakla ilgileniyor. Uygulamada, sanki birisi evinizin anahtarlarının bir kopyasını almış ve onu en yüksek teklifi verene satmış gibi, o da daha sonra teknik olarak suçu işlemek için evinize girecek.
Bir şirkete erişim bilgileri genellikle özel bilgisayar korsanlığı forumlarında ve pazar yerlerinde sunulur.
Bir şirketin ağına ilk erişim, çevirmeli ağ bağlantıları için sistem oturum açma kimlik bilgileri, RDP erişimi, VPN kimlik bilgileri veya hizmetlere ve sunuculara erişim için çalınan kimlik bilgileri gibi çeşitli şekillerde sunulabilir.
Tehdit istihbaratıyla uğraşanlar için teklifin izlenmesi çok önemlidir, hatta ağlarına erişimi keşfederek kapıları zamanında saldırganlara kapatabilecek ve feci izinsiz girişlerden kaçınabilecek saldırıların olası hedefi olan şirketler için çok önemlidir.
Searchlight raporu, odaklandığı bu su altı dünyasına ilginç bir bakış açısı sunuyor. ilgili riskler konusunda uyaran enerji kuruluşlarına ilk erişim alım satımı.
Rapor,Şubat 2022 ile Şubat 2023 arasında bilgisayar korsanlığı forumları, karanlık web siteleri ve siber suçlar tarafından kullanılan pazar yerlerinde yayınlanan gönderilerin analizi.
Yalnızca enerji sektörü kuruluşlarının ağlarına ilk erişimi teklif eden ve arayan duyurular ve tartışmalar analiz edilmiştir, raporda önerilen örnek daha geniş bir analizin bir alt kümesidir ve Amerika Birleşik Devletleri, Kanada, Birleşik Krallık, Fransa , İtalya ve Endonezya.
Hemen anlaşılıyor ki bu tür bilgiler her zaman müzayede edilir, en yüksek teklifi veren kişi, erişimleri satılık olan şirketin ağına özel erişim hakkı kazanacaktır.
“Dark web’de enerji endüstrisine karşı gözlemlediğimiz baskın faaliyet, rutin olarak dark web forumlarında yer alan enerji şirketlerine ilk erişim için ‘açık artırmalar’dır.” uzmanların yayınladığı raporu okur. “Listeler ayrıca petrol ve gaz gibi geleneksel enerji şirketlerinde ve aynı zamanda yenilenebilir enerji kuruluşlarında enerji sektörü yelpazesindeki şirketleri (yukarı, orta ve aşağı yönlü) içerir.”
Aşağıdaki resim, şirketin türünü, büyüklüğünü, coğrafi konumunu ve açık bir şekilde erişim türünü gösteren bir açık artırma örneğini göstermektedir. Müzayedeye katılmanın kuralları da görülebilir, yani başlangıç fiyatı (Başlangıç), her teklif için artış (Adım) ve “Bliz” olarak bilinen müzayedeyi hemen kapatma fiyatı.
Şirketlerin cirosu, şirkete girildikten sonra başarılı bir saldırı durumunda “kazanma potansiyeli” konusunda bir gösterge verdiği için raporlanır.
Analiz edilen teklifler şunları içeriyordu: 20$’dan 2.500$’a kadar değişen ilk erişim fiyatı hedef kuruluşun coğrafi konumu veya tedarik zinciri saldırıları potansiyeli gibi çeşitli parametrelere bağlı olarak.
Bu son husus ilginçtir, veya bir şirketi tehlikeye atarak, hizmetlerini kullanan değişken sayıda başka şirketi etkilemek mümkündür, hatta bütün bir sektörün kısmi felce varması. Mayıs 2021’de ABD’de Koloni Boru Hattı’na yapılan saldırı sırasında olan buydu. 2014
En endişe verici olan, enerji sektöründeki şirketlerin endüstriyel süreçlerinin ve daha genel olarak herhangi bir endüstriyel sürecin işleyişine bağlı olan ICS (endüstriyel sayaç sistemi) ve OT (operasyonel teknoloji) sistemlerine ilişkin tartışmaların ve tekliflerin varlığıdır.
Bu süreçlere müdahale bir şirketin faaliyetlerinin tamamen durmasına ve hatta çevre felaketlerine veya can kaybına yol açabilecek kazalara neden olabilir.
Şirket tarafından izlenen kötü niyetli aktörler, bazı gönderilerde internete bakan ICS sistemlerindeki bilinen güvenlik açıklarından nasıl yararlanılacağına dair ayrıntılı talimatlar sunmanın yanı sıra bunları kullanan şirketler hakkında ayrıntılı bilgiler verdi.
“Dark web istihbaratı, bir kuruluşun güvenlik duruşunu izlemek için değerli bir varlıktır, güvenlik ekibinin erken saldırı göstergelerini belirlemesine ve tehdit analiz modellerini beslemesine yardımcı olur.” sonuçlandırır Jim Simpson, Searchlight Cyber Tehdit İstihbaratı Direktörü. “Şirketlerin tehdit avcılığı yapacak kaynakları olmasa bile, veriler bir bilgi kaynağı olarak kullanılabilir ve bazı muhakemeler ve simülasyonlar yapılabilir. Ya VPN’imizde bir güvenlik açığı varsa ve bir saldırgan Ar-Ge’de ayrıcalıklı bir kullanıcının kimlik bilgilerini almak için bu güvenlik açığından yararlanırsa? Bu olaya nasıl cevap veririz?”
Dark Web’in istihbarat şirketi Searchlight Cyber ilginç bir rapor yayınladı hangi analizler kötü niyetli aktörler karanlık ağda gelişen bir ekosistemi nasıl buluyor? tam olarak enerji sektöründeki kuruluşlara yönelik saldırılar hazırlamak için.
Uzmanlar, çeşitli türden saldırganların karanlık ağı önceden güvenliği ihlal edilmiş ağlara erişim elde edin o saldırılar için yararlı olan kaynakları ve bilgileri elde edin.
Bir saldırının çeşitli aşamaları için destek sunan bilgisayar korsanlarından çeşitli aktör kategorileri büyüteç altında kaldı.erişim komisyoncusu.”
Siber suç ekosisteminde bir “erişim aracısının” rolü çok önemlidir, bu aktörler bilgisayar ağlarına veya sistemlerine ilk erişimin satışını veya değişimini kolaylaştırmak. Satışa sundukları bilgiler, ya hedef sistemlerin daha önce ele geçirilmesinden gelir ya da kötü amaçlı kod ya da hedef odaklı kimlik avı kampanyaları gibi çeşitli tekniklerle çalınır.
Bu komisyoncular bir kuruluşun ağlarına ve alıcılarına yetkisiz erişim sağlayan siber suçlular arasında aracı görevi görürler. saldırıyı başlatmak için bu erişimi satın almak veya kullanmakla ilgileniyor. Uygulamada, sanki birisi evinizin anahtarlarının bir kopyasını almış ve onu en yüksek teklifi verene satmış gibi, o da daha sonra teknik olarak suçu işlemek için evinize girecek.
Bir şirkete erişim bilgileri genellikle özel bilgisayar korsanlığı forumlarında ve pazar yerlerinde sunulur.
Bir şirketin ağına ilk erişim, çevirmeli ağ bağlantıları için sistem oturum açma kimlik bilgileri, RDP erişimi, VPN kimlik bilgileri veya hizmetlere ve sunuculara erişim için çalınan kimlik bilgileri gibi çeşitli şekillerde sunulabilir.
Tehdit istihbaratıyla uğraşanlar için teklifin izlenmesi çok önemlidir, hatta ağlarına erişimi keşfederek kapıları zamanında saldırganlara kapatabilecek ve feci izinsiz girişlerden kaçınabilecek saldırıların olası hedefi olan şirketler için çok önemlidir.
Searchlight raporu, odaklandığı bu su altı dünyasına ilginç bir bakış açısı sunuyor. ilgili riskler konusunda uyaran enerji kuruluşlarına ilk erişim alım satımı.
Rapor,Şubat 2022 ile Şubat 2023 arasında bilgisayar korsanlığı forumları, karanlık web siteleri ve siber suçlar tarafından kullanılan pazar yerlerinde yayınlanan gönderilerin analizi.
Yalnızca enerji sektörü kuruluşlarının ağlarına ilk erişimi teklif eden ve arayan duyurular ve tartışmalar analiz edilmiştir, raporda önerilen örnek daha geniş bir analizin bir alt kümesidir ve Amerika Birleşik Devletleri, Kanada, Birleşik Krallık, Fransa , İtalya ve Endonezya.
Hemen anlaşılıyor ki bu tür bilgiler her zaman müzayede edilir, en yüksek teklifi veren kişi, erişimleri satılık olan şirketin ağına özel erişim hakkı kazanacaktır.
“Dark web’de enerji endüstrisine karşı gözlemlediğimiz baskın faaliyet, rutin olarak dark web forumlarında yer alan enerji şirketlerine ilk erişim için ‘açık artırmalar’dır.” uzmanların yayınladığı raporu okur. “Listeler ayrıca petrol ve gaz gibi geleneksel enerji şirketlerinde ve aynı zamanda yenilenebilir enerji kuruluşlarında enerji sektörü yelpazesindeki şirketleri (yukarı, orta ve aşağı yönlü) içerir.”
Aşağıdaki resim, şirketin türünü, büyüklüğünü, coğrafi konumunu ve açık bir şekilde erişim türünü gösteren bir açık artırma örneğini göstermektedir. Müzayedeye katılmanın kuralları da görülebilir, yani başlangıç fiyatı (Başlangıç), her teklif için artış (Adım) ve “Bliz” olarak bilinen müzayedeyi hemen kapatma fiyatı.
Şirketlerin cirosu, şirkete girildikten sonra başarılı bir saldırı durumunda “kazanma potansiyeli” konusunda bir gösterge verdiği için raporlanır.
Analiz edilen teklifler şunları içeriyordu: 20$’dan 2.500$’a kadar değişen ilk erişim fiyatı hedef kuruluşun coğrafi konumu veya tedarik zinciri saldırıları potansiyeli gibi çeşitli parametrelere bağlı olarak.
Bu son husus ilginçtir, veya bir şirketi tehlikeye atarak, hizmetlerini kullanan değişken sayıda başka şirketi etkilemek mümkündür, hatta bütün bir sektörün kısmi felce varması. Mayıs 2021’de ABD’de Koloni Boru Hattı’na yapılan saldırı sırasında olan buydu. 2014
En endişe verici olan, enerji sektöründeki şirketlerin endüstriyel süreçlerinin ve daha genel olarak herhangi bir endüstriyel sürecin işleyişine bağlı olan ICS (endüstriyel sayaç sistemi) ve OT (operasyonel teknoloji) sistemlerine ilişkin tartışmaların ve tekliflerin varlığıdır.
Bu süreçlere müdahale bir şirketin faaliyetlerinin tamamen durmasına ve hatta çevre felaketlerine veya can kaybına yol açabilecek kazalara neden olabilir.
Şirket tarafından izlenen kötü niyetli aktörler, bazı gönderilerde internete bakan ICS sistemlerindeki bilinen güvenlik açıklarından nasıl yararlanılacağına dair ayrıntılı talimatlar sunmanın yanı sıra bunları kullanan şirketler hakkında ayrıntılı bilgiler verdi.
“Dark web istihbaratı, bir kuruluşun güvenlik duruşunu izlemek için değerli bir varlıktır, güvenlik ekibinin erken saldırı göstergelerini belirlemesine ve tehdit analiz modellerini beslemesine yardımcı olur.” sonuçlandırır Jim Simpson, Searchlight Cyber Tehdit İstihbaratı Direktörü. “Şirketlerin tehdit avcılığı yapacak kaynakları olmasa bile, veriler bir bilgi kaynağı olarak kullanılabilir ve bazı muhakemeler ve simülasyonlar yapılabilir. Ya VPN’imizde bir güvenlik açığı varsa ve bir saldırgan Ar-Ge’de ayrıcalıklı bir kullanıcının kimlik bilgilerini almak için bu güvenlik açığından yararlanırsa? Bu olaya nasıl cevap veririz?”