Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Polonya’daki enerji altyapısına yönelik bir dizi yıkıcı siber saldırının ardından ABD enerji sektörü için bir siber güvenlik uyarısı yayınladı. Uyarı, operatörlerin Aralık ayında gerçekleşen olayın operasyonel teknoloji ve kontrol sistemlerindeki zafiyetleri ortaya çıkarmasının ardından varsayılan şifreleri gözden geçirmeleri ve internete bağlı cihazlarda korumaları güçlendirmeleri çağrısında bulunuyor.
Polonya’daki olay, Polonya Bilgisayar Acil Müdahale Ekibi’nin (CERT-PL) analizine göre, 30’dan fazla rüzgar ve güneş enerjisi tesisi, birleşik ısı ve enerji tesisi ile bir üretim tesisi dahil olmak üzere birçok tesisin koordineli kötü niyetli faaliyetlerde hedef alınmasıyla 29 Aralık 2025’te gerçekleşti. Saldırganlar, güvenlik duvarları, sanal özel ağ (VPN) geçitleri ve varsayılan veya zayıf kimlik bilgilerine sahip diğer sistemler gibi internete bağlı uç cihazlara erişim sağladı.
Uyarıya göre, saldırganlar ağ içine girdikten sonra uzak terminal birimlerinde (RTU’lar) firmware bozan yıkıcı zararlı yazılımlar yayımladı, insan makine arayüzlerindeki verileri (HMI’lar) sildi ve kurumsal BT sistemlerinden verileri sildi. Bu eylemler, olay sırasında etkilenen yenilenebilir enerji sahalarında enerji üretiminin devam ettiği bildirilse de, operatörlerin kritik altyapıyı izleme ve kontrol etme yeteneğini engelledi.
CISA, bildirisinde, internete açık uç cihazların tehdit aktörleri için birincil hedef olmaya devam ettiğini vurguladı. Bu cihazlar, iç kontrol sistemlerini daha geniş ağlara bağlayır ve varsayılan veya yeniden kullanılan giriş bilgileriyle zayıf kimlik doğrulamaları ile saldırganlar için bir giriş noktası sağlayabilir. Danışmanlık, kuruluşların ömrünün sonuna kadar çıkmış ekipmanları değiştirmeleri ve tüm cihazlar için şifre değişikliklerini uygulamaları çağrısında bulundu.
Rehberlik, yazılım doğrulaması olmayan operasyonel teknolojinin oluşturduğu riske de işaret etti. Bazı durumlarda, yazılım bütünlüğünü doğrulama mekanizması olmayan cihazlar, kötü amaçlı kod veya bozuk yapılandırma değişiklikleriyle kalıcı olarak zarar görebilir. CISA, operatörlerin mümkün olduğunda firmware doğrulamasını destekleyen güncellemeleri önceliklendirmesini ve olay müdahale planlarının potansiyel OT arızalarını hesaba katmasını sağlamasını önerdi.
Polonya CERT analizi, olayı daha geniş jeopolitik gerilimlerle uyumlu kasıtlı ve yıkıcı bir kampanyaya bağladı, ancak o dönemde büyük bir kesinti bildirilmedi. İlk erişim için varsayılan kimlik bilgilerinin kullanılması, kritik altyapı ortamlarında temel güvenlik denetimlerinin devam eden riskini vurguladı.
CISA, uyarısında, ABD enerji firmalarını ve diğer kritik altyapı operatörlerini CERT-PL’den alınan teknik bulguları gözden geçirmeye ve önerilen güvenlik önlemlerini operasyonlarına entegre etmeye teşvik etti. Bunlar arasında, mümkün olduğunda çok faktörlü kimlik doğrulamanın zorunlu kılınması, OT ve endüstriyel kontrol sistemleri için ağ maruziyetini azaltmak ve desteklenmeyen veya savunmasız donanımın hizmetten kaldırılması yer alıyor.
Ajans son zamanlarda güvensiz ağ ekipmanlarından kaynaklanan riskleri azaltmaya odaklandı. Federal kurumlara verilen ayrı bir direktifte, CISA, desteklenmeyen kenar cihazlarının hükümet sistemlerinden kaldırılmasını emretti; bu, son olaylarda kullanılan yaygın saldırı yollarının kapatılması yönündeki daha geniş bir çabayı yansıtıyor.
Bu uyarı, enerji, imalat ve birbirine bağlı operasyonel teknolojiye dayanan diğer sektörlerde korumaları güçlendirmeyi amaçlayan ABD güvenlik yetkililerinin devam eden rehberliğinin bir parçasıdır. CISA’nın bildirimi, temel siber güvenlik hijyeninin önemini hatırlatıyor; varsayılan şifrelerin değiştirilmesi ve tüm internet bağlantılı cihazlar için güvenli yapılandırma standartlarının uygulanması dahil.