SCADA & ICS Saldırı
SCADA ve ICS sistemleri, Elektrik ve Enerji, Su kullanımı yönetimi, Petrokimya, Veri Merkezleri,
Nükleer/Gaz/Oil Power Plants ve Taşımacılık Sistemleri (hava, deniz..vb.), Pipeline gibi alanlarda
kontrol ve yönetime yardımcı olmayı amaçlayan sistemlerdir.
! Endüstriyel Sistemleri Hedeflemek ve onlara saldırmak sadece kurumsal ağ altyapısına zarar vermekle
kalmayıp, ayrıca tabiat ortamı, hayvanlar ve başka tüm canlılara da zarar verdiğini anlamamız gerekiyor.
Öncelikle bu konuda kullanılan temel kavramları anlayacağız.
ICS (Industrial Control System)
ICS sistemleri genellikle endüstriyel prosesleri ve makineleri doğrudan
kontrol etmeyi sağlayan sistemler konusuna bağlıdır.
ICS'ler genellikle elektrik, su, petrol ve gaz, kimya, taşımacılık ve diğer sektörlerde
kullanılır. ICS'nin 4 farklı türü mevcuttur: SCADA (Supervisory Control and
Data Acquisition), PLC (Programmable Logic Controllers), DCS (Distributed
Control Systems), IACS (Industrial Automation and Control Systems).
PLC (Programmable Logic Controllers)
PLC (Programmable Logic Controllers) elektrik donanımı (röleler, anahtarlar ve
mekanik zamanlayıcı,..vb.) tarafından yürütülen mantık işlevlerini yürütmek için
tasarlanmış küçük bir endüstriyel bilgisayardır. PLC'ler kompleks prosesleri kontrol
etme kabiliyetine sahiptir ve hem SCADA hem de DCL sistemlerinde kullanılır.
PLC'ler, otomasyon sistemlerinde uygulanacak talimatları saklamak için belleğe sahiptir.
DCS (Distributed Control Systems)
DCS (Distributed Control Systems) elektrik enerji yönetimi, petrol ve gaz, su yönetimi,
kimyasal ve otomotiv gibi endüstriyel prosesleri kontrol etmek için kullanılır.
Dağıtılmış Kontrol Sistemleri veya DCS'ler, proseslerin ve kontrol sistemlerinin ayrı ayrı
kontrol edildiği bir sistemdir. Bu tür ICS'nin bilgileri tek bir merkezden değil, dağıtılmış
olarak sağlanır.
SCADA (Supervisory Control and Data Acquisition)
SCADA (Supervisory Control and Data Acquisition) verilerin toplanmasına, işlenmesine
ve analizine yardımcı olur. SCADA sistemleri, farklı endüstriyel sistemlerin merkezden
izlenmesine ve kontrol edilmesine yardımcı olur.
SCADA protokollerine örnek olarak RTU, PLC sensörleri ile haberleşmek için DNP3
(Distributed Network Protocol, port: 20000 TCP/UDP), Modbus'u (port: 502 TCP) alabiliriz.
HMI (Human-Machine Interface) sistemlerin prosesini izlemeye, kontrol etmeye,
kontrol parametrelerini değiştirmeye imkan veren bir yazılım/donanımdır.
HMI ayrıca operatörlere, yöneticilere proses statüsü bilgilerini, önceki bilgileri,
raporları ve gerekli diğer bilgileri görüntüler.
ICS Protokolleri
Her ICS protokolünün kendi iletişim portu vardır. Genellikle çok kullanılan ICS
protokolleri için portları örnek olarak alabiliriz. Basit bir port taraması nmap, unimap..vb.
ile endüstriyel sistemler için negatif sonuçlar vereceğini bilmemiz gerekir.
| Protocols | Ports |
|---|---|
| Modbus | 502 TCP |
| DNP | 19999 |
| DNP3 | 20000 TCP ve 20000 UDP |
| EtherCAT | 34980 UDP |
| Ethernet/IP | 44818 TCP, 44818 UDP, 2222 UDP |
| BACnet/IP | 47808 UDP |
| FL-net | 55000 - 55003 UDP |
| Fieldbus | 1089 - 1091 TCP ve 1089 - 1091 UDP |
| ICCP | 102 TCP |
| Profinet | 34962 - 34964 TCP ve 34962 - 34964 UDP |
| OPC UA Binary | Vendor Specific (Firmaya Bağlı) |
| OPC UA Discovery Server | 4840 TCP |
| OPC UA XML | 80 TCP ve 443 TCP |
| ROC Plus | 4000 TCP ve 4000 UDP |
| Red lion | 789 TCP |
| Niagra Fox | 1911 TCP ve 4911 TCP |
| IEC-104 | 2404 TCP |
ICS (Industrial Control System) Vendors & Attack Vectors
Her ICS/SCADA firmasının kendi özellikleri ve hedef aldığı sektörler ( elektrik,
su, petrol ve gaz, kimya, taşımacılık) vardır. Ayrıca hedef ülkeye göre belirli
vendorların kullanım miktarı da farklı olacaktır. Analizlere göre en çok hedef
alınan SCADA/ICS firmaları Schneider Electric programmable logic controllers
(PLC'ler), OMRON Sysmac NEX PLC'ler ve Open Platform Communications Unified
Architecture (OPC UA) sunucularıdır. Saldırganlar genellikle Enerji Sektörü
kurumları ve Su Arıtma sektörlerini hedef alıyorlar.
Schneider Electric MODICON ve MODICON Nano PLC'ler için, TM251, TM241, M258,
M238, LMC058 ve LMC078,..vb. ve OMRON Sysmac NJ ve NX PLC'ler için, NEX NX1P2,
NX-SL3300, NX-ECC203, NJ501-1300, S8VK ve R88D-1SN10F-ECT,..vb.
resimde saldırganlar tarafından SCADA/ICS Saldırılarının çoğunda
hedef alınan başka bir farklı şirket türünü görebiliriz:
Saldırganların endüstriyel ortamlara saldırmak için kullandığı farklı yöntemler vardır.
Örneğin: SCADA/ICS sistemlerinin HMI Web Tabanlı ortamına erişim sağlayabilirler ve
SCADA sistemlerinde yönetici olarak bazı komutları değiştirebilir veya çalıştırabilirler
ancak sadece web tabanlı HMI konsoluna erişim sağlamanın SCADA/ICS endüstriyel
sistemlerine Impact ve zarar vermek için yeterli olmayacağını bilmemiz gerekir
çünkü sadece web tabanlı konsola erişerek onları tam olarak kontrol etmiyoruz,
bazı yerlerde karşımıza engeller çıkacaktır. Bu konuda SCADA/ICS ortamlarındaki web
tabanlı saldırıları analiz etmeyi öğreneceğiz. Bir sonraki saldırı tekniği “targeted attack” olup,
kurumsal ağa saldıracaklar ve oradan da SCADA/ICS Kontrol alanına erişecekler ve orada
tamamen kontrol sağlayıp yönetici olarak herhangi bir komutu çalıştırabilecekler.
HMI'ya karşı web saldırılarına devam etmeden önce, SCADA/ICS saldırılarının
kurumsal ağ içinde nasıl yapıldığına bir bakacağız.
Saldırganlar farklı saldırı vektörleri kullanarak SCADA/ICS organizasyonunun iç ağına girebilirler.
Örneğin, farklı güvenlik açığı kullanarak perimetrelere saldırmak: SQL Enjeksiyonu, Arbitrary File Upload
ve Remote Command Execution, Konfigürasyon hataları, Kaynak kod açıkları, Outdated software, brute..vb.
veya Access Broker'dan şirket içi ağa erişim imkanı satın alabilirler. Şirket ağına erişim saldırganın
kabiliyetlerine göre farklılık gösterebilir. İç ağa girdikten sonra, saldırganlar iç ağ sunucuları, WS
( workstations) ve farklı güvenlik açıkları için bilgi toplama yaparlar, ve SCADA/ICS sistemleri veya
bilgisayarları için ağ alanını bulmaya çalışırlar, daha sonra farklı iç ağ saldırı vektörleri kullanarak
yetki yükseltme yaparlar ve daha sonra saldırganlar lateral movement yaparak SCADA endüstriyel
sistemlerini kontrol etmek için kullanılan sistemlere ve bilgisayarlara erişmeye çalışırlar.
ICS için tam saldırı teknikleri için ATT&CK Matrix'ten öğrenebilirsiniz:
ATT&CK MATRIX for ICS
Saldırı yapmadan önce bilgi toplama adımı yapacaklar. Saldırganlar SCADA/ICS'in
fiziksel konumlarını farklı ülkelerde bulabilirler. örneğin: Saldırganlar bir su veya enerji
merkezinin fiziksel konumunu bulmaya çalışırlar. Tüm saldırı senaryolarında bu
teknik kullanılmayacaktır, ancak hedefi daha iyi anlamak için hedeflerin fiziksel konumunu
belirlemek iyi bir tekniktir ve başka bir şekilde “GeoStalking” olarak adlandırılır.
Örneğin, Electrical Japonya Power Plant Veritabanını kullanarak, Japonya'nın enerji kaynağını
(power station haritası) ve enerji kullanımını görebiliriz. Burada, Google Haritalar'da belirli bir
konumu kullanarak tüm hidro, wind, solar ve nükleer power plantlerini listeleyebiliriz.
Saldırgan fiziksel konumları kullanarak daha sonraki saldırı adımları için ip adreslerine çevirebilir.
Bunun için saldırgan farklı hizmetler kullanabilir, örneğin: Konum verilerinin IP adresi
verilerine çevrilmesine imkan sağlayan Maxmind. Daha sonra saldırgan bir port taraması veya
Shodan kullanarak ip adreslerini daha detaylı bir şekilde araştırabilir.
SCADA/ICS web tabanlı HMI (Human-Machine Interface)' larını bulmak
Saldırganlar SCADA/ICS sistemlerinin Web tabanlı HMI konsollarını bulmak için farklı yöntemler
kullanabilirler. Çoğunlukla Shodan, Censys,..vb. ve bazı hallerde google dorks kullanabilirler.
Shodan'ı kullanarak SCADA/ICS sistemlerini vendor, port ve product adlarına göre arama yapabiliriz.
- Shodan -
Örneğin, farklı arama filtreleri kullanarak spesifik SCADA/ICS sistemleri hakkında arama yapabiliriz.
Modbus için --> port:502
(daha önce de belirttiğim gibi Modbus protokolü 502 numaralı port üzerinde çalışır)
SIEMENS S7 --> port:102
(S7 (S7 İletişimi) Siemens'e ait özel bir protokoldür)
Schneider Electric --> ClearSCADA
(Schneider Electric tarafından kullanılan uygulamadır)
Schneider Electric - PM820SD port:161
(Schneider Electric'in PM820SD modelini bulmak)
PowerLogic PM800 port:80
(Schneider Electric'in PowerLogic PM800 modelini bulmak)
ION8650
(Schneider Electric'in PowerLogic ION8650 A/B/C modelini bulmak)
SCADA/ICS sistemlerinin web tabanlı HMI konsolunu bulmak için başka bir yöntem google dorks kullanmaktır.
Endüstriyel sistemlerin HMI'larını bulmak için bazı google dork'larını örnek olarak alacağız.
Simatic web interface için HMI konsolunu bulmak için google dork --> intitle:"Miniweb Start Page"
Siemens S7 serisi PLC kontrolörlerini bulmak için google dork --> inurl:"Portal/Portal.mwsl"
General Electric cihaz web portalını bulmak için google dork --> inurl:"ProficyPortal/default.asp"
Schneider Electric cihaz web portalını bulmak için google dork --> intitle:”ClearSCADA Home”
Arama sonuçlarından birine girdiğimizde aşağıdaki web sayfasını görüyoruz.
Ad ve Şifre için saldırgan farklı yöntemler kullanabilir çünkü (genellikle HMI'ların web
interface'lerine saldırmak kolaydır) ve şifre tahmin etmek, brute-force tekniği,
web açıklarını bulmak gibi yöntemler kullanabilirler.
Saldırganlar ayrıca VNC kullanarak açık endüstriyel sistemlere bağlanma
veya VNC kullanıcılarının kullanıcı adı/şifresine saldırma yöntemini de kullanmaya çalışırlar.
Ek olarak saldırganlar SCADA/ICS sistemlerine bağlanmak için spesifik yazılımlar da kullanabilirler.
Örneğin SIMATIC ICS'ye bağlanmak için saldırganlar WinCC'yi kullanmayı deneyebilir.
Honeywell ICS'ye bağlanmak için saldırganlar Experion'yi kullanmayı deneyebilir,..vb.
Shodan'da SCADA/ICS sistemlerini biraz analiz ettikten sonra, birkaç açık HMI konsolu buldum.
Yönetici yetkileri için saldırganlar, HMI konsollarına yönetici olarak giriş yapmak için daha önce
bahsettiğim gibi farklı saldırı vektörleri kullanmaya çalışabilir.
Exposed ALJAZIRA Gas Power Plant
Çok farklı SCADA/ICS sonuçları var, bu yüzden bunlardan sadece 2
tanesini seçtim ve size örnek olarak gösteriyorum.
örnek olarak, son zamanlarda tespit edilen yeni CVE güvenlik açıklarına:
CVE-2024-56336: Siemens, SINAMICS S200 Sürücülerindeki 9.8 Dereceli Bootloader Zafiyeti.
CVE-2024-56336 olarak takip edilen güvenlik açığı, bir saldırganın güvenilmeyen firmware'i
yükleyerek cihaza zarar vermesine veya erişim sağlamasına imkan verir.
Güvenlik açığı bulunan cihazlar, SZVS8, SZVS9, SZVS0 veya SZVSN ile başlayan seri
numaralarına ve 02 FS numarasına sahip tüm SINAMICS S200 versiyonlarını içerir.
! Siemens'in güvenlik açığını kapatmak için henüz herhangi bir firmware güncellemesi
yayınlamadığını da belirtmek gerekir.
Gördüğünüz gibi SCADA/ICS endüstriyel sistemleri kritik sektörler olsalar da genellikle
savunmasızdırlar ve bunların çoğu farklı saldırı türlerine karşı korunmamaktadır.
tabanlı HMI'ye spesifik taktiklerini ve saldırı yöntemlerini analiz ettik
