Thread Starter
#0
⚠️ KRİTİK ALTYAPI GÜVENLİĞİ UYARISI (CRITICAL INFRASTRUCTURE WARNING):
Bu doküman, Endüstriyel Kontrol Sistemleri (ICS) Mühendisleri, SCADA Güvenlik Uzmanları ve Red Team Operatörleri için; operasyonel teknolojilerdeki (OT) mimari zafiyetleri anlamak ve siber-fiziksel saldırılara karşı savunma geliştirmek amacıyla EĞİTİM AMAÇLI hazırlanmıştır.
Elektrik santralleri, su şebekeleri, fabrikalar veya ulaşım sistemlerine yönelik yetkisiz erişim ve manipülasyon; Terör Suçu kapsamında değerlendirilir ve ömür boyu hapis cezası ile yargılanır. Bu içeriğin kötüye kullanımından doğacak her türlü maddi hasar, can kaybı ve hukuki sorumluluk tamamen uygulayıcıya aittir.
1. Giriş: Air-Gap (Hava Boşluğu) Bir Yalandır
Endüstriyel tesisler, güvenlik için "Air-Gap" kullanır. Yani, fabrikanın üretim ağının internete fiziksel olarak bağlı olmamasıdır. Yöneticiler şöyle düşünür: "İnternet kablosu takılı değilse, hacker içeri giremez."Bu, modern siber güvenliğin en büyük yanılgısıdır.Air-Gap aşılamaz bir duvar değil, sadece yüksek gecikmeli (High Latency) bir veri aktarım yoludur.
Saldırganın hedefi, operasyonu yöneten Windows sunucusu değildir. Hedef, sahadaki motorları, vanaları ve basıncı yöneten PLC (Programmable Logic Controller) cihazlarıdır.
2. Aşama 1: Köprüyü Kurmak (Bridging the Gap)
İnternete bağlı olmayan bir sisteme zararlı yazılım nasıl sokulur?A. The Infected Engineer (Mühendis Tuzağı)
Tesisin içindeki PLC'leri programlayan mühendislerin dizüstü bilgisayarları (Engineering Workstation) vardır. Bu bilgisayarlar zaman zaman internete bağlanır (mail, güncelleme vb.) ve zaman zaman da tesise (Air-Gap arkasına) bağlanır.Saldırgan, mühendisin bilgisayarını internette hedef alır (Spear Phishing). Bilgisayara, "Uyuyan Ajan" (Dormant Payload) yüklenir. Bu virüs hiçbir şey yapmaz; sadece mühendisin bilgisayarı bir PLC'ye bağlandığında (USB veya Ethernet ile) uyanır.
B. Supply Chain Interdiction (Kargo Arası)
NSA ve diğer istihbarat servislerinin kullandığı yöntemdir. Fabrikanın sipariş ettiği yeni bir Siemens veya Allen-Bradley PLC modülü, kargodayken durdurulur. Donanımın içine gömülü yazılım (Firmware) değiştirilir ve paket tekrar yola çıkar. Cihaz fabrikaya takıldığında, Truva Atı artık kalenin içindedir.3. Aşama 2: Mühendislik Yazılımını Zehirlemek (DLL Hijacking)
Mühendisler PLC'leri programlamak için TIA Portal (Siemens) veya Studio 5000 (Rockwell) gibi yazılımlar kullanır.Saldırgan, mühendisin bilgisayarındaki bu yazılımların derleyici kütüphanelerini (Compiler DLLs) değiştirir.Mühendis tamamen masum ve temiz bir kod yazsa bile, "Yükle" (Upload) butonuna bastığında, değiştirilmiş DLL dosyası araya girer ve mühendisin kodunun içine saldırganın zararlı kodunu (Logic Bomb) gizlice ekler.
Mühendis ekranda kendi kodunu görür ama PLC'ye giden kod zehirlidir.
4. Aşama 3: PLC Logic Bomb (Mantık Bombası)
PLC'ler aptal cihazlardır. Girdiyi okur (Sensör), mantığı çalıştırır, çıktıyı verir (Motor).Logic Bomb, PLC'nin içine gömülen ve belirli şartlar oluşana kadar sessiz kalan bir kod bloğudur.Kod Yapısı (Ladder Logic Mantığı):
- Tetikleyici (Trigger): Tarih 2026/05/15 oldu mu? VEYA Türbin hızı 5000 RPM'i geçti mi?
- Eylem (Payload):
- Normalde vana %50 açık olmalıdır.
- Saldırı kodu vanayı %100 kapatır (Basınç artar).
- Normalde vana %50 açık olmalıdır.
- Gizleme (Man-in-the-Middle on Chip):
- En kritik kısım budur. Vana kapalıdır ve boru patlamak üzeredir.
- Ancak PLC, kontrol odasındaki operatörün ekranına (HMI - Human Machine Interface) sahte veri gönderir: "Vana %50 açık, basınç normal."
- En kritik kısım budur. Vana kapalıdır ve boru patlamak üzeredir.
5. Aşama 4: Ladder Logic Obfuscation
Bir uzman PLC'nin içine bakarsa zararlı kodu görebilir mi?Saldırganlar, kodlarını gizlemek için STL (Statement List) veya derlenmiş bloklar kullanır.Normal bir mühendis "Ladder Diyagramı" (Merdiven Mantığı) ile çalışır. Saldırgan ise kodunu, PLC'nin hafızasında "Kullanılmayan Alanlara" (Dead Memory) yazar ve ana döngüden buraya gizli bir atlama (JUMP) komutu ekler. Bu kod parçacıkları, standart editörlerde görünmez.
6. Blue Team: Fizik Yalan Söylemez
SCADA sistemlerini korumak için IT güvenliği (Firewall, Antivirüs) yetersizdir. OT (Operational Technology) güvenliği gerekir.- Unidirectional Gateways (Data Diodes): Air-Gap yerine "Tek Yönlü Veri Diyotu" kullanılmalıdır. Veri fabrikadan dışarı çıkabilir (izleme için) ama dışarıdan içeriye (fiziksel olarak) tek bir bit bile giremez.
- Baseline Monitoring: PLC'nin kodunun Hash değeri (Checksum) sürekli kontrol edilmelidir. Eğer mühendis güncelleme yapmadığı halde Hash değişirse, içeride bir şeyler değişmiştir.
- Out-of-Band Sensing: PLC'nin raporladığı veriye güvenilmemelidir. Vananın üzerine, PLC'den tamamen bağımsız ikinci bir sensör takılmalı ve bu sensör analog bir kadranla veya bağımsız bir ağla izlenmelidir. Fiziksel sensörler hacklenemez.