Оферта за отстъпка за множество лицензи
Компютърна сигурност Ирански хакери внедряват зловреден софтуер IOCONTROL за...

Ирански хакери внедряват зловреден софтуер IOCONTROL за насочване към IoT и OT устройства в САЩ и Израел

До Mura през Компютърна сигурностг
Превод на:
български език

Прословутата иранска хакерска група, CyberAv3ngers, е свързана с поредица от кибератаки, насочени към IoT (Интернет на нещата) и OT (Оперативна технология) устройства в Съединените щати и Израел. Създаденият по поръчка злонамерен софтуер зад тези атаки, наречен IOCONTROL, е предназначен да проникне в критична инфраструктура, предизвиквайки тревога сред експертите по киберсигурност и правителствата.

Спонсорирани от държавата заплахи за критичната инфраструктура

CyberAv3ngers, която твърди, че е хактивистка група, е свързана с Ислямския революционен гвардеен корпус на Иран (IRGC). Преди това групата се е насочила към индустриални системи за контрол (ICS) във водни съоръжения в Ирландия и Съединените щати, причинявайки значителни смущения. Например, при една атака през 2023 г. срещу водоснабдителна компания в Пенсилвания, хакерите се възползваха от лошо защитена ICS, което доведе до два дни прекъсване на водоснабдяването.

Притеснителният аспект на тези атаки е тяхната зависимост от основни уязвимости. Много ICS и OT устройства остават изложени на интернет с пароли по подразбиране, което ги прави лесни мишени за нападатели, без да се нуждаят от усъвършенствани техники за хакване. Тези пропуски в сигурността подчертават продължаващите рискове, породени от слаба защита на инфраструктурата.

Как работи зловреден софтуер IOCONTROL

Според изследователи от Claroty, IOCONTROL е кибероръжие, специално създадено за насочване към вградени Linux-базирани устройства в IoT и OT среди. Зловреден софтуер е многофункционален и може да се персонализира за различни устройства, включително:

  • IP камери
  • Рутери
  • SCADA системи
  • PLC (програмируеми логически контролери)
  • HMI (интерфейси човек-машина)
  • Защитни стени

Известни засегнати доставчици включват Baicells, D-Link, Hikvision, Phoenix Contact, Teltonika и Unitronics, наред с други. Това широко насочване предполага, че злонамереният софтуер може да използва множество типове устройства, неразделна част от индустриални и оперативни мрежи.

IOCONTROL комуникира със своите оператори чрез протокола MQTT, лек стандарт за комуникация машина-машина. Това позволява на атакуващите да изпълняват произволен код, да извършват сканиране на портове и да разпространяват зловреден софтуер странично в мрежите, като постигат по-дълбок контрол върху компрометираните системи.

Скорошни високопоставени атаки

Една от най-тревожните кампании се случи през октомври 2023 г., когато CyberAv3ngers заявиха, че са повредили 200 бензинови помпи в Израел. Атаката използва устройства, свързани с Orpak Systems, компания, предоставяща решения за управление на бензиностанции.

Анализът на Claroty на IOCONTROL разкри проба, получена от система за контрол на горивото на Gasboy – тясно свързана с Orpak – което показва, че групата потенциално е подновила кампанията си в средата на 2024 г. Въпреки продължаващите разследвания, остава неясно как зловредният софтуер е бил първоначално разпространен.

По-широките последици

Атаките, приписвани на IOCONTROL, подчертават нарастващия фокус върху гражданската критична инфраструктура като цел за държавно спонсорирани кибер кампании. Използвайки IoT и OT уязвимостите, групи като CyberAv3ngers могат да причинят широко разпространени смущения, от прекъсване на водоснабдяването до спиране на разпределението на гориво. Тези действия не само създават рискове за обществената безопасност, но и създават геополитическо напрежение.

В отговор правителството на САЩ предложи награда до 10 милиона долара за информация, водеща до идентифицирането или арестуването на лица, свързани с CyberAv3ngers. Това подчертава сериозността на тези киберзаплахи и спешната необходимост от по-силна защита срещу тях.

Защита срещу IOCONTROL и подобни заплахи

Организациите, управляващи IoT и OT устройства, трябва да предприемат следните стъпки за намаляване на рисковете:

  1. Промяна на идентификационните данни по подразбиране: Много атаки са успешни поради слаби, фабрични пароли по подразбиране. Приложете незабавно политики за силни пароли.
  2. Сегментиране на мрежата: Изолирайте ICS и OT устройствата от изправени към интернет мрежи, за да ограничите потенциалните точки за достъп за нападателите.
  3. Редовни актуализации и корекции: Уверете се, че всички устройства работят с най-новия фърмуер и актуализации за сигурност.
  4. Наблюдение за аномалии: Внедрете системи за откриване на проникване, за да идентифицирате необичайна дейност, като сканиране на портове или опити за неоторизиран достъп.
  5. Ограничете отдалечения достъп: Ограничете достъпа до ICS и OT устройства, позволявайки връзки само от надеждни IP адреси.

Заключителни думи

Кампанията за злонамерен софтуер IOCONTROL е ярко напомняне за уязвимостите, присъщи на IoT и OT системите. Тъй като спонсорираните от държавата групи като CyberAv3ngers все повече се насочват към критична инфраструктура, организациите трябва да приемат проактивни мерки за киберсигурност, за да се защитят срещу тези развиващи се заплахи. Като защитават своите мрежи, те могат да предотвратят атаки, които биха могли да имат опустошителни въздействия върху обществената безопасност и основните услуги.

Зареждане...