Princeton Üniversitesi’nde akademisyenlerden oluşan bir ekibin yaptığı araştırmaya göre, siber suçlular yerel kesintilerin yanı sıra büyük ölçekli kararmalara yol açabilecek şekilde güç şebekelerinin talep bölümlerini kontrol edebilmek amacıyla internete bağlı ev cihazlarını bir botnet’e dönüştürebilirler.
Araştırmalar özellikle akıllı ev sistemleri ya da mobil uygulamalar tarafından kontrol edilen ve yüksek oranda enerji tüketen akıllı fırınlar, oda ısıtıcıları ve klimalar gibi internete bağlanabilen cihazlara odaklanıyor. Herhangi bir cihazda yer alan belirli bir güvenlik açığını işaret etmemekle birlikte, bu cihazların korsanlar tarafından ele geçirildiği bir senaryoyu canlandırıyorlar.
Bu fikrin kanıtı niteliğindeki saldırıların altında yatan olağandışı şeyler, tehdit aktörlerinin şebekenin yönetimsel kontrol ve veri toplama (SCADA) sistemlerini ele geçirmeden kesintiye neden olabilmesine dayanıyor. Ayrıca “MadIoT” (Manipulation of demand via IoT) adı verilen bu saldırılar, ağın doğrudan arz kısmını hedef almaktansa, talep tarafını hedef alıyor.
Araştırmacılar MadIoT saldırılarının kaynaklarını, “dağıtılmış yapılarından ötürü şebeke operatörü tarafından tespit edilmesi ve bağlantısının kesilmesi çok zor” olarak yorumluyorlar. Dahası, saldırganlar şebekenin yönetimsel detayları hakkında bilgiye ihtiyaç duymayacağı için saldırılar kolayca tekrar edilebilir.
Araştırmacılar, bu yeni türdeki saldırıların akla yatkınlığını “gerçek enerji şebekesi modelleri üzerindeki modern simülatörler” ile test ettiler. Bu tehdit şu makalede açıklandı “BlackIoT: Yüksek Elektrik Tüketen Cihazlar IoT Botnet ile Enerji Şebekelerini Kesintiye Uğratabilirler” ve ayrıca araştırmanın yakın zamanda gerçekleşen USENIX güvenlik sempozyumunda sunumu gerçekleştirildi.
MadIoT’nin eksilerini ve artılarını incelemeden önce, elektrik dağıtım kesintilerini hedefleyen duyulmamış gerçek saldırılara bir göz atalım. Bilhassa Ukrayna, son yıllarda saldırıların neden olduğu iki büyük ölçekli kesinti yaşadı. Aralık 2016’da bir saat boyunca Kiev’in bazı bölümlerinde yaşanan kesintinin muhtemel kaynağı olan Industroyer adlı zararlı yazılımın örnekleri, ESET araştırmacıları tarafından incelendi. Bu zararlı kodun, elektrik trafosu şalterlerini ve devre kesicileri doğrudan kontrol edebilme kapasitesine sahip olduğu ve bazı durumlarda gerçekten şalterleri kapatıp açabildiği ortaya çıktı.
Her yer karanlık
MadIoT saldırısı (kaynak: “BlackIoT: IoT Botnet of High Wattage Devices Can Disrupt the Power Grid”)
Şimdi MadIoT’ye dönelim. Özetlemek gerekirse, akademisyenler tarafından üç ana saldırı senaryosu ortaya atıldı:
Birincisi, yüksek voltajlı internet bağlantılı cihazların güç gereksinimlerinde yaşanan ani artış veya düşüşler nedeniyle, çoğu zaman aynı anda açılıp kapanmak suretiyle frekans kararsızlığına sebep olan saldırılar şeklinde ortaya çıktı. Arz ve talep arasında meydana gelen dengesizlik, sistem frekansında ani bir düşüşe neden olur.
Akademisyenler, “Eğer dengesizlik sistem eşiğinden büyük olursa, frekans kritik bir değere ulaşarak jeneratörleri sekteye uğratıp büyük ölçekli bir kararmaya sebep olabilir,” şeklinde konuştu.
ABD merkezli bir hizmete ait elektrik şebekesi modelinde gerçekleştirilen bir simülasyonda, talepte yaşanan %30’luk bir artışın tüm jeneratörlerin sekteye uğraması için yeterli olduğu görüldü. Makalede, “Böyle bir saldırı için saldırganların hedeflenen coğrafi bölgede yer alan 90 bin klima veya 18 bin elektrikli su ısıtıcısına erişmeye ihtiyaç duyduğu” belirtildi.
İkincisi, tehdit aktörleri güç talebini yeniden dağıtarak hat arızalarına neden olabilir; bu da nihai olarak peşpeşe şebeke çökmeleriyle sonuçlanır. Bu, örnek olarak bir IP aralığındaki cihazların çalıştırılması ve başka bir IP aralığındaki cihazların kapatılmasıyla diğer alanlardaki talebin azaltılarak, bazı yerlerdeki talebin artırılması yoluyla yapılabilir.
Yazarlar, Polonya şebekesinin belirli bir bölümünde talepte meydana gelen sadece yüzde 1’lik bir artışın, yüklerin yüzde 86’sında 263 hat arızası ve kesintisi ile kademeli bir çöküşe neden olduğunu göstermek için simülasyonlar kullandılar. Makaleye göre, “Gerçekleştirilecek bu türden bir saldırıda, Polonya’daki tüm evlerin toplam yüzde 1,5’luk bölümünde yer alan yaklaşık 210 bin klimanın ele geçirilmesi gerektiği” belirtiliyor.
Üçüncü senaryoda ise talep eğrisi, elektrik pazarındaki bazı hizmetlerden faydalanmak amacıyla şebekenin işlem maliyetlerini artırmak üzere kontrol edilebilir. Örneğin, güç talebini öngörülen değerin üzerine çıkmaya zorlayarak, saldırganlar muhtemelen eskisine zarar vererek yenisinden faydalanmak amacıyla, şebekenin operatörünü daha yüksek bir fiyattan ek güç satın alması için rezervde tutulan farklı bir jeneratöre yönlendirebilirdi. Bu durumda saldırı, altyapıya zarar vermekten ziyade, maddi amaçlar doğrultusunda gerçekleştirilecektir.
Tartışmalı bir şekilde, MadIoT saldırıları, dağıtılmış hizmet reddi (DDoS) saldırılarıyla biraz benzerlik gösterir; burada bir botnet’e bağlanan cihazlar, hizmeti kullanılamayacak duruma getirecek yoğunlukta trafiğe sahip olan bir web sitesi ya da sunucu benzeri bir hedefe yönlendirilirler. 21 Ağustos 2016’da 600,000 IoT cihaz ele geçirilerek gerçekleştirilen bir dizi DDoS saldırısı, konuya uygun bir örnek oluşturacak şekilde ABD’deki meşru bir internet faaliyetinin geniş çaplı olarak kesintiye uğramasına neden olmuştur.
DDoS saldırılarının aksine, MadIoT saldırılarının bir sınırlaması, ele geçirilen botların dünyanın her yerine dağılmasından ziyade, belirli bir alandaki bir güç sisteminin sınırları içinde yer alması gerektiğidir.
Geleceğe dair bir tehdit mi?
İlgililere yönelik bir dizi tavsiye verebilmek isteyen akademisyenlerin ifadesine göre, “Yaptığımız iş, IoT ve güç şebekeleriyle birlikte diğer ağlar arasındaki güvenlik açığı bağlantılarına ışık tutarak, hem sistem güvenliği hem de enerji mühendisliği topluluklarının dikkatini çekmek” olarak özetlenmektedir.
En önemlisi de, şebeke operatörlerinin altyapılarının ani yük değişimlerine karşı dayanıklı olduğundan emin olmalıdır. Aynı zamanda IoT cihaz üreticileri, güvenlik açıkları için cihazlarını titiz bir şekilde test ederek cihazlarının siber saldırılar için açık birer hedef olmadıklarından emin olmalıdırlar.
Birkaç hafta önce farklı bir araştırma ekibi, saldırganların sulama sistemlerini istedikleri zaman uzaktan açıp kapatabilmelerini mümkün kılan çeşitli ticari internet bağlantılı sulama sistemlerinin ürün yazılımlarındaki güvenlik açıklarını belirleyerek analiz ettiler. Araştırmacılar, bir “botnet” kullanan ve “aynı anda suyla bağlantılı sulama sistemlerini” etkileyen olası bir saldırı hakkında, bir şehrin su sisteminin ve rezervlerinin tamamen boşalma noktasına gelebileceği konusunda uyarılarda bulundular.