Cotització de descompte per a múltiples llicències
Seguretat informàtica Els pirates informàtics iranians despleguen programari...

Els pirates informàtics iranians despleguen programari maliciós IOCONTROL per dirigir-se a dispositius IoT i OT als EUA i Israel

El Mura el Seguretat informàtica
Traduir a:
Català

Un famós grup de pirateria iranià, CyberAv3ngers, s'ha relacionat amb una sèrie de ciberatacs dirigits a dispositius IoT (Internet de les coses) i OT (Tecnologia operativa) als Estats Units i Israel. El programari maliciós fet a mida darrere d'aquests atacs, anomenat IOCONTROL, està dissenyat per infiltrar-se en infraestructures críticas, despertant alarmes tant entre els experts en ciberseguretat com entre els governs.

Amenaces patrocinades per l'estat a la infraestructura crítica

CyberAv3ngers, que afirma ser un grup hacktivista, ha estat vinculat al Cos de la Guàrdia Revolucionària Islàmica (IRGC) de l'Iran. El grup s'ha enfocat anteriorment als sistemes de control industrial (ICS) a les instal·lacions d'aigua a Irlanda i els Estats Units, causant interrupcions importants. Per exemple, en un atac del 2023 a una empresa d'aigua a Pennsilvània, els pirates informàtics van explotar un ICS mal assegurat, cosa que va provocar dos dies de talls de subministrament d'aigua.

L'aspecte preocupant d'aquests atacs és la seva dependència de les vulnerabilitats bàsiques. Molts dispositius ICS i OT es deixen exposats a Internet amb contrasenyes predeterminades, cosa que els converteix en objectius fàcils per als atacants sense necessitat de tècniques de pirateria avançada. Aquestes llacunes de seguretat posen de manifest els riscos actuals que suposa la feble protecció de les infraestructures.

Com funciona el programari maliciós IOCONTROL

Segons els investigadors de Claroty, IOCONTROL és una ciberarma dissenyada específicament per orientar dispositius basats en Linux incrustats en entorns IoT i OT. El programari maliciós és versàtil i es pot personalitzar per a diferents dispositius, com ara:

  • Càmeres IP
  • Encaminadors
  • Sistemes SCADA
  • PLC (Controladors lògics programables)
  • HMI (Interfícies home-màquina)
  • Tallafocs

Entre els principals proveïdors afectats hi ha Baicells, D-Link, Hikvision, Phoenix Contact, Teltonika i Unitronics, entre d'altres. Aquesta àmplia orientació suggereix que el programari maliciós pot explotar diversos tipus de dispositius integrals a les xarxes industrials i operatives.

IOCONTROL es comunica amb els seus operadors mitjançant el protocol MQTT, un estàndard lleuger de comunicació màquina a màquina. Això permet als atacants executar codi arbitrari, realitzar exploracions de ports i difondre programari maliciós lateralment per les xarxes, obtenint un control més profund sobre els sistemes compromesos.

Atacs d'alt perfil recents

Una de les campanyes més alarmants es va produir l'octubre de 2023, quan CyberAv3ngers va afirmar haver interromput 200 bombes de gas a Israel. L'atac va explotar dispositius vinculats a Orpak Systems, una empresa que ofereix solucions de gestió de gasolineres.

L'anàlisi de Claroty d'IOCONTROL va revelar una mostra obtinguda d'un sistema de control de combustible Gasboy, molt lligat a Orpak, que indica que el grup potencialment havia rellançat la seva campanya a mitjans del 2024. Malgrat les investigacions en curs, encara no està clar com es va distribuir el programari maliciós inicialment.

Les implicacions més àmplies

Els atacs atribuïts a IOCONTROL posen de manifest l'atenció creixent a la infraestructura crítica civil com a objectiu de les campanyes cibernètiques patrocinades per l'estat. En explotar les vulnerabilitats d'IoT i OT, grups com CyberAv3ngers poden causar interrupcions generalitzades, des d'interrompre el subministrament d'aigua fins a aturar la distribució de combustible. Aquestes accions no només comporten riscos per a la seguretat pública sinó que també creen tensió geopolítica.

En resposta, el govern dels EUA ha ofert una recompensa de fins a 10 milions de dòlars per la informació que condueixi a la identificació o la detenció d'individus associats amb CyberAv3ngers. Això subratlla la gravetat d'aquestes ciberamenaces i la necessitat urgent de defenses més sòlides contra elles.

Protecció contra IOCONTROL i amenaces similars

Les organitzacions que gestionen dispositius IoT i OT haurien de prendre els passos següents per mitigar els riscos:

  1. Canvia les credencials predeterminades: molts atacs tenen èxit a causa de contrasenyes febles i predeterminades de fàbrica. Implementeu polítiques de contrasenyes fortes immediatament.
  2. Segmentació de la xarxa: aïlleu els dispositius ICS i OT de les xarxes orientades a Internet per limitar els possibles punts d'accés per als atacants.
  3. Actualitzacions periòdiques i pedaços: assegureu-vos que tots els dispositius executen les últimes actualitzacions de microprogramari i seguretat.
  4. Monitor d'anomalies: implementeu sistemes de detecció d'intrusions per identificar activitats inusuals, com ara exploracions de ports o intents d'accés no autoritzats.
  5. Limitar l'accés remot: restringeix l'accés als dispositius ICS i OT, permetent connexions només des d'adreces IP de confiança.

Paraules finals

La campanya de programari maliciós IOCONTROL és un recordatori clar de les vulnerabilitats inherents als sistemes IoT i OT. A mesura que grups patrocinats per l'estat com CyberAv3ngers es dirigeixen cada cop més a infraestructures crítiques, les organitzacions han d'adoptar mesures proactives de ciberseguretat per defensar-se d'aquestes amenaces en evolució. En protegir les seves xarxes, poden prevenir atacs que podrien tenir impactes devastadors en la seguretat pública i els serveis essencials.

Carregant...