عرض خصم التراخيص المتعددة
أمن الكمبيوتر قراصنة إيرانيون ينشرون برنامج IOCONTROL الخبيث لاستهداف...

قراصنة إيرانيون ينشرون برنامج IOCONTROL الخبيث لاستهداف أجهزة إنترنت الأشياء وتكنولوجيا التشغيل في الولايات المتحدة وإسرائيل

بواسطة Mura في أمن الكمبيوتر
ترجمة الى:
العربية

ارتبطت مجموعة القرصنة الإيرانية الشهيرة CyberAv3ngers بسلسلة من الهجمات الإلكترونية التي استهدفت أجهزة إنترنت الأشياء وتكنولوجيا التشغيل في الولايات المتحدة وإسرائيل. تم تصميم البرامج الضارة المصممة خصيصًا وراء هذه الهجمات، والتي أطلق عليها اسم IOCONTROL، للتسلل إلى البنية التحتية الحيوية، مما أثار مخاوف خبراء الأمن السيبراني والحكومات على حد سواء.

التهديدات التي ترعاها الدولة للبنية التحتية الحيوية

كانت مجموعة CyberAv3ngers، التي تدعي أنها مجموعة قرصنة إلكترونية، مرتبطة بالحرس الثوري الإسلامي الإيراني. وقد استهدفت المجموعة في السابق أنظمة التحكم الصناعي في مرافق المياه في أيرلندا والولايات المتحدة، مما تسبب في حدوث اضطرابات كبيرة. على سبيل المثال، في هجوم واحد على مرفق مياه في بنسلفانيا في عام 2023، استغل المتسللون أنظمة التحكم الصناعي سيئة الحماية، مما أدى إلى انقطاع إمدادات المياه لمدة يومين.

الجانب المثير للقلق في هذه الهجمات هو اعتمادها على نقاط ضعف أساسية. حيث تُترك العديد من أجهزة التحكم الصناعي والتشغيلي عُرضة للإنترنت باستخدام كلمات مرور افتراضية، مما يجعلها أهدافًا سهلة للمهاجمين دون الحاجة إلى تقنيات اختراق متقدمة. وتسلط هذه الثغرات الأمنية الضوء على المخاطر المستمرة التي تفرضها ضعف حماية البنية الأساسية.

كيف يعمل برنامج IOCONTROL الخبيث

وفقًا للباحثين في Claroty، فإن IOCONTROL هو سلاح إلكتروني مصمم خصيصًا لاستهداف الأجهزة المضمنة المستندة إلى Linux في بيئات إنترنت الأشياء وتكنولوجيا التشغيل. البرنامج الخبيث متعدد الاستخدامات ويمكن تخصيصه لأجهزة مختلفة، بما في ذلك:

  • كاميرات IP
  • الموجهات
  • أنظمة سكادا
  • PLCs (وحدات التحكم المنطقية القابلة للبرمجة)
  • واجهات الإنسان والآلة (HMIs)
  • جدران الحماية

تشمل قائمة البائعين البارزين المتأثرين Baicells وD-Link وHikvision وPhoenix Contact وTeltonika وUnitronics، وغيرها. ويشير هذا الاستهداف الواسع النطاق إلى أن البرامج الضارة يمكنها استغلال أنواع متعددة من الأجهزة المتكاملة مع الشبكات الصناعية والتشغيلية.

تتواصل IOCONTROL مع مشغليها عبر بروتوكول MQTT، وهو معيار خفيف الوزن للاتصال بين الأجهزة. يتيح هذا للمهاجمين تنفيذ تعليمات برمجية عشوائية، وإجراء عمليات مسح للمنافذ، ونشر البرامج الضارة بشكل جانبي عبر الشبكات، مما يمنحهم سيطرة أعمق على الأنظمة المخترقة.

الهجمات البارزة الأخيرة

وقعت إحدى الحملات الأكثر إثارة للقلق في أكتوبر 2023، عندما زعمت CyberAv3ngers أنها عطلت 200 مضخة بنزين في إسرائيل. واستغل الهجوم أجهزة مرتبطة بشركة Orpak Systems، وهي شركة تقدم حلول إدارة محطات الوقود.

كشف تحليل كلاروتي لـ IOCONTROL عن عينة تم الحصول عليها من نظام التحكم في الوقود Gasboy - المرتبط ارتباطًا وثيقًا بـ Orpak - مما يشير إلى أن المجموعة أعادت إطلاق حملتها في منتصف عام 2024. وعلى الرغم من التحقيقات الجارية، لا يزال من غير الواضح كيف تم توزيع البرامج الضارة في البداية.

التأثيرات الأوسع نطاقا

وتسلط الهجمات المنسوبة إلى IOCONTROL الضوء على التركيز المتزايد على البنية التحتية المدنية الحيوية كهدف للحملات الإلكترونية التي ترعاها الدولة. ومن خلال استغلال نقاط الضعف في إنترنت الأشياء وتكنولوجيا التشغيل، يمكن لمجموعات مثل CyberAv3ngers التسبب في اضطرابات واسعة النطاق، من انقطاع إمدادات المياه إلى وقف توزيع الوقود. ولا تشكل هذه الإجراءات مخاطر على السلامة العامة فحسب، بل إنها تخلق أيضًا توترات جيوسياسية.

وردًا على ذلك، عرضت الحكومة الأميركية مكافأة تصل إلى عشرة ملايين دولار لمن يدلي بمعلومات تؤدي إلى تحديد هوية أو اعتقال الأفراد المرتبطين بمجموعة CyberAv3ngers. وهذا يؤكد خطورة هذه التهديدات الإلكترونية والحاجة الملحة إلى دفاعات أقوى ضدها.

الحماية من IOCONTROL والتهديدات المماثلة

ينبغي على المنظمات التي تدير أجهزة إنترنت الأشياء وتكنولوجيا التشغيل اتخاذ الخطوات التالية للتخفيف من المخاطر:

  1. تغيير بيانات الاعتماد الافتراضية: تنجح العديد من الهجمات بسبب كلمات المرور الضعيفة الافتراضية. قم بتنفيذ سياسات كلمات المرور القوية على الفور.
  2. تجزئة الشبكة: عزل أجهزة ICS وOT عن الشبكات المواجهة للإنترنت للحد من نقاط الوصول المحتملة للمهاجمين.
  3. التحديثات المنتظمة والتصحيحات: تأكد من تشغيل جميع الأجهزة لأحدث البرامج الثابتة وتحديثات الأمان.
  4. مراقبة الحالات الشاذة: نشر أنظمة اكتشاف التطفل لتحديد الأنشطة غير المعتادة، مثل عمليات مسح المنافذ أو محاولات الوصول غير المصرح بها.
  5. تقييد الوصول عن بعد: تقييد الوصول إلى أجهزة ICS وOT، مما يسمح بالاتصالات فقط من عناوين IP الموثوقة.

الكلمات النهائية

إن حملة IOCONTROL للبرمجيات الخبيثة هي تذكير صارخ بالثغرات الكامنة في أنظمة إنترنت الأشياء وتكنولوجيا التشغيل. ومع استهداف المجموعات التي ترعاها الدولة مثل CyberAv3ngers بشكل متزايد للبنية التحتية الحيوية، يتعين على المنظمات تبني تدابير أمنية سيبرانية استباقية للدفاع ضد هذه التهديدات المتطورة. ومن خلال تأمين شبكاتها، يمكنها منع الهجمات التي قد يكون لها آثار مدمرة على السلامة العامة والخدمات الأساسية.

جار التحميل...