Saldırının Genel Çerçevesi
Aralık 2025 sonunda Polonya elektrik şebekesine yönelik gerçekleştirilen siber saldırı, Rus devlet destekli ELECTRUM hacker grubuna atfedildi. Saldırıda, kombine ısı ve güç (CHP) tesisleri ile rüzgar ve güneş enerjisi sahalarındaki yenilenebilir enerji sistemlerinin kontrol ve iletişim altyapısı hedef alındı. Operasyonel teknoloji (OT) sistemlerine sızan saldırganlar, kritik ekipmanları onarılamaz şekilde devre dışı bıraktı ancak elektrik kesintisi yaşanmadı.
Saldırı Zinciri ve Teknik Detaylar
ELECTRUM grubunun operasyonları, KAMACITE adlı başka bir tehdit aktörü ile koordineli yürütüldü. KAMACITE, oltalama (spear-phishing), çalınmış kimlik bilgileri ve açıkta kalan servislerin sömürülmesi yoluyla ilk erişimi sağladı. Sonrasında ELECTRUM, BT ve OT ortamları arasında köprü kurarak ICS (Endüstriyel Kontrol Sistemleri) üzerinde manipülasyonlar gerçekleştirdi. Bu süreçte hem manuel operatör arayüzleri kullanıldı hem de ICS’ye özgü kötü amaçlı yazılımlar devreye alındı.
Saldırı zinciri temel olarak şu adımlardan oluştu:
- İlk erişim: Spear-phishing ve kimlik bilgisi hırsızlığı
- Uzun süreli keşif ve kalıcılık: OT ortamlarına derinlemesine sızma
- Operasyonel komutlar ve ICS manipülasyonu: Kritik ekipmanların devre dışı bırakılması
Tehdit aktörleri, özellikle Uzak Terminal Birimleri (RTU) ve iletişim altyapısındaki açık ağ cihazlarını kullanarak erişim sağladı. Bazı OT cihazların işlevsiz hale getirilmesi, saldırının önceden konumlanma ve hazırlık aşamasından saldırıya dönüşümünü gösteriyor.
Hangi Sistemler Risk Altında?
Bu saldırı, dağıtılmış enerji kaynakları (DER) ve bunların kontrol sistemlerini hedef alması bakımından önem taşıyor. CHP tesisleri, rüzgar ve güneş enerjisi santralleri gibi yenilenebilir enerji altyapıları, operasyonel teknoloji ağları üzerinden yönetiliyor. Bu sistemlerdeki zafiyetler, enerji üretim ve dağıtımında kritik aksamalara yol açabilir.
Özellikle Windows tabanlı cihazların silinmesi, yapılandırmaların sıfırlanması ve ekipmanın kalıcı olarak kullanılamaz hale getirilmesi gibi eylemler, OT ortamlarında kalıcı hasar riskini artırıyor. Bu durum, enerji sektöründe OT ve BT ortamlarının entegrasyonunun getirdiği yeni güvenlik zorluklarını gözler önüne seriyor.
Siber Güvenlik Ekipleri İçin Öneriler
- Operasyonel teknoloji ortamlarında segmentasyon ve erişim kontrolü sıkılaştırılmalı.
- EDR ve SIEM çözümleri ile OT sistemlerinden gelen loglar düzenli olarak analiz edilmeli.
- Kimlik ve erişim yönetimi (IAM) politikaları güncellenerek çok faktörlü kimlik doğrulama (MFA) zorunlu hale getirilmeli.
- Phishing saldırılarına karşı e-posta güvenliği artırılmalı ve çalışanlar düzenli olarak bilinçlendirilmelidir.
- Ağ cihazları ve RTU’lar için güncel yamalar uygulanmalı, açıkta kalan servisler kapatılmalıdır.
- Olay müdahale (incident response) planları OT ortamlarına özgü senaryolarla güncellenmeli ve tatbikatlar yapılmalıdır.
- ICS’ye özgü kötü amaçlı yazılımlar için özel tespit kuralları ve davranış analizi araçları devreye alınmalıdır.
- Enerji sektöründe bulut güvenliği ve ağ segmentasyonu politikaları gözden geçirilmelidir.
Teknik Özet
- Kullanılan araçlar ve yöntemler: Spear-phishing, kimlik bilgisi hırsızlığı, açık servis sömürüsü, ICS kötü amaçlı yazılımları
- Hedef sektör ve bölge: Polonya enerji sektörü, özellikle dağıtılmış enerji kaynakları
- Saldırı zinciri: İlk erişim (phishing), kalıcılık ve keşif, OT ortamlarına sızma, ICS manipülasyonu
- Önerilen savunma: Ağ segmentasyonu, MFA, düzenli yama yönetimi, EDR/SIEM entegrasyonu, olay müdahale planları
Bu saldırı, enerji sektöründe OT sistemlerinin güvenliğinin ne denli kritik olduğunu ve siber saldırganların giderek daha karmaşık ve koordineli yöntemlerle bu alanları hedef aldığını ortaya koyuyor. Kurumların, OT ve BT ortamlarını entegre eden güvenlik stratejilerini gözden geçirmesi ve gelişmiş tespit-tepki mekanizmalarını hayata geçirmesi gerekiyor.