Monen lisenssin alennustarjous
Tietokoneturva Iranilaiset hakkerit ottavat käyttöön...

Iranilaiset hakkerit ottavat käyttöön IOCONTROL-haittaohjelman kohteenakseen IoT- ja OT-laitteita Yhdysvalloissa ja Israelissa

Vuonna Mura vuonna Tietokoneturva
Käännä:
Suomi

Pahamaineinen iranilainen hakkerointiryhmä CyberAv3ngers on liitetty sarjaan kyberhyökkäyksiä, jotka kohdistuvat IoT- (Internet of Things) ja OT (Operational Technology) -laitteisiin Yhdysvalloissa ja Israelissa. Näiden hyökkäysten takana räätälöity haittaohjelma, nimeltään IOCONTROL, on suunniteltu tunkeutumaan kriittiseen infrastruktuuriin ja herättämään hälytyksiä kyberturvallisuusasiantuntijoiden ja hallitusten keskuudessa.

Valtion tukemat uhat kriittiseen infrastruktuuriin

CyberAv3ngers, joka väittää olevansa hacktivistiryhmä, on ollut sidoksissa Iranin Islamic Revolutionary Guard Corpsiin (IRGC). Ryhmä on aiemmin kohdistanut teollisuusohjausjärjestelmiä (ICS) Irlannin ja Yhdysvaltojen vesilaitoksiin aiheuttaen merkittäviä häiriöitä. Esimerkiksi yhdessä vuonna 2023 tehdyssä hyökkäyksessä vesilaitosta vastaan Pennsylvaniassa hakkerit käyttivät hyväkseen huonosti turvattua ICS:ää, mikä johti kahden päivän vesihuoltokatkoihin.

Näiden hyökkäysten huolestuttava puoli on niiden riippuvuus perushaavoittuvuuksista. Monet ICS- ja OT-laitteet jätetään Internetiin oletussalasanoilla, mikä tekee niistä helpon kohteen hyökkääjille ilman kehittyneitä hakkerointitekniikoita. Nämä tietoturva-aukot korostavat heikkojen infrastruktuurin suojausten aiheuttamia jatkuvia riskejä.

Kuinka IOCONTROL-haittaohjelma toimii

Clarotyn tutkijoiden mukaan IOCONTROL on kyberase, joka on erityisesti suunniteltu kohdistamaan sulautettuihin Linux-pohjaisiin laitteisiin IoT- ja OT-ympäristöissä. Haittaohjelma on monipuolinen ja se voidaan räätälöidä eri laitteille, mukaan lukien:

  • IP-kamerat
  • Reitittimet
  • SCADA-järjestelmät
  • Ohjelmoitavat logiikkaohjaimet (PLC)
  • HMI:t (ihmisen ja koneen rajapinnat)
  • Palomuurit

Merkittäviä toimittajia, joita vaikutus koskee, ovat muun muassa Baicells, D-Link, Hikvision, Phoenix Contact, Teltonika ja Unitronics. Tämä laaja kohdistus viittaa siihen, että haittaohjelmat voivat hyödyntää useita erityyppisiä laitteita, jotka ovat kiinteästi osa teollisia ja operatiivisia verkkoja.

IOCONTROL kommunikoi operaattoreidensa kanssa MQTT-protokollan kautta, joka on kevyt koneen välinen viestintästandardi. Tämän ansiosta hyökkääjät voivat suorittaa mielivaltaisen koodin, suorittaa porttitarkistuksia ja levittää haittaohjelmia sivusuunnassa verkkojen välillä, jolloin he voivat hallita paremmin vaarantuneita järjestelmiä.

Viimeaikaiset korkean profiilin hyökkäykset

Yksi hälyttävimmistä kampanjoista tapahtui lokakuussa 2023, kun CyberAv3ngers väitti häirinneen 200 kaasupumppua Israelissa. Hyökkäys hyödynsi huoltoasemanhallintaratkaisuja tarjoavaan Orpak Systemsiin liittyviä laitteita.

Clarotyn IOCONTROL-analyysi paljasti näytteen, joka saatiin Gasboyn polttoaineenhallintajärjestelmästä, joka oli läheisesti sidottu Orpakiin, mikä osoitti, että ryhmä oli mahdollisesti käynnistänyt kampanjansa uudelleen vuoden 2024 puolivälissä. Meneillään olevista tutkimuksista huolimatta on edelleen epäselvää, kuinka haittaohjelma alun perin levitettiin.

Laajemmat vaikutukset

IOCONTROLin syyksi luetut hyökkäykset korostavat lisääntyvää keskittymistä kriittiseen siviiliinfrastruktuuriin valtion tukemien kyberkampanjoiden kohteena. Hyödyntämällä IoT- ja OT-haavoittuvuuksia, ryhmät, kuten CyberAv3ngers, voivat aiheuttaa laajoja häiriöitä vesihuollon keskeyttämisestä polttoaineen jakelun pysäyttämiseen. Nämä toimet eivät ainoastaan aiheuta riskejä yleiselle turvallisuudelle, vaan luovat myös geopoliittisia jännitteitä.

Vastauksena Yhdysvaltain hallitus on tarjonnut jopa 10 miljoonan dollarin palkkion tiedoista, jotka johtavat CyberAv3ngersiin liittyvien henkilöiden tunnistamiseen tai pidättämiseen. Tämä korostaa näiden kyberuhkien vakavuutta ja voimakkaamman suojan tarvetta niitä vastaan.

Suojautuminen IOCONTROLilta ja vastaavilta uhilta

IoT- ja OT-laitteita hallinnoivien organisaatioiden tulee ryhtyä seuraaviin toimiin riskien vähentämiseksi:

  1. Muuta oletusvaltuuksia: Monet hyökkäykset onnistuvat heikkojen tehdasasetusten salasanojen vuoksi. Ota vahvat salasanakäytännöt käyttöön välittömästi.
  2. Verkon segmentointi: Eristä ICS- ja OT-laitteet Internetiin päin olevista verkoista rajoittaaksesi hyökkääjien mahdollisia yhteyspisteitä.
  3. Säännölliset päivitykset ja korjaukset: Varmista, että kaikissa laitteissa on uusimmat laiteohjelmisto- ja tietoturvapäivitykset.
  4. Valvo poikkeavuuksia: ota käyttöön tunkeutumisen havaitsemisjärjestelmiä epätavallisen toiminnan, kuten porttitarkistuksen tai luvattoman pääsyn, tunnistamiseksi.
  5. Rajoita etäkäyttöä: Rajoita pääsyä ICS- ja OT-laitteisiin sallien yhteydet vain luotetuista IP-osoitteista.

Viimeiset sanat

IOCONTROL-haittaohjelmakampanja on jyrkkä muistutus IoT- ja OT-järjestelmien haavoittuvuuksista. Koska valtion tukemat ryhmät, kuten CyberAv3ngers, keskittyvät yhä useammin kriittiseen infrastruktuuriin, organisaatioiden on otettava käyttöön ennakoivia kyberturvallisuustoimenpiteitä suojautuakseen näitä kehittyviä uhkia vastaan. Turvaamalla verkkonsa he voivat estää hyökkäyksiä, joilla voi olla tuhoisia vaikutuksia yleiseen turvallisuuteen ja olennaisiin palveluihin.

Ladataan...