האקרים איראנים פורסים תוכנה זדונית של IOCONTROL למיקוד התקני IoT ו-OT בארה"ב ובישראל

קבוצת פריצה איראנית ידועה לשמצה, CyberAv3ngers, נקשרה לסדרה של מתקפות סייבר המכוונות למכשירי IoT (Internet of Things) ו-OT (Operational Technology) בארצות הברית ובישראל. התוכנה הזדונית הבנויה בהתאמה אישית מאחורי התקפות אלה, המכונה IOCONTROL, נועדה לחדור לתשתית קריטית, להעלות אזעקות בקרב מומחי אבטחת סייבר וממשלות כאחד.

איומים בחסות המדינה על תשתיות קריטיות

CyberAv3ngers, הטוענת כי היא קבוצה האקטיביסטית, נקשרה לחיל משמרות המהפכה האיסלאמיים (IRGC). הקבוצה פנתה בעבר למערכות בקרה תעשייתיות (ICS) במתקני מים באירלנד ובארצות הברית, וגרמה לשיבושים משמעותיים. לדוגמה, במתקפה אחת של 2023 על חברת מים בפנסילבניה, ההאקרים ניצלו ICS מאובטח בצורה גרועה, מה שהוביל ליומיים של הפסקות אספקת מים.

ההיבט המדאיג של התקפות אלה הוא הסתמכותן על פגיעויות בסיסיות. מכשירי ICS ו-OT רבים נותרים חשופים לאינטרנט עם סיסמאות ברירת מחדל, מה שהופך אותם למטרות קלות לתוקפים ללא צורך בטכניקות פריצה מתקדמות. פערים אלו באבטחה מדגישים את הסיכונים המתמשכים הנובעים מהגנת תשתית חלשה.

כיצד פועלת תוכנה זדונית של IOCONTROL

לפי חוקרים ב-Claroty, IOCONTROL הוא נשק סייבר שתוכנן במיוחד כדי למקד מכשירים מבוססי לינוקס משובצים בסביבות IoT ו-OT. התוכנה הזדונית היא רב-תכליתית וניתן להתאים אותה למכשירים שונים, כולל:

• מצלמות IP
• נתבים
• מערכות SCADA
• PLCs (בקרי לוגיקה ניתנים לתכנות)
• HMIs (ממשקי אדם-מכונות)
• חומות אש

ספקים בולטים שנפגעו כוללים בין היתר את Baicells, D-Link, Hikvision, Phoenix Contact, Teltonika ו-Unitronics. מיקוד רחב זה מצביע על כך שהתוכנה הזדונית יכולה לנצל סוגים מרובים של מכשירים המשולבים ברשתות תעשייתיות ותפעוליות.

IOCONTROL מתקשרת עם המפעילים שלה באמצעות פרוטוקול MQTT, תקן תקשורת קל משקל בין מכונה למכונה. זה מאפשר לתוקפים לבצע קוד שרירותי, לבצע סריקות יציאות ולהפיץ תוכנות זדוניות לרוחב על פני רשתות, ולהשיג שליטה עמוקה יותר על מערכות שנפגעו.

התקפות אחרונות בפרופיל גבוה

אחד הקמפיינים המדאיגים ביותר התרחש באוקטובר 2023, כאשר CyberAv3ngers טענו כי שיבשו 200 משאבות דלק בישראל. במתקפה ניצלו מכשירים הקשורים לחברת Orpak Systems המספקת פתרונות לניהול תחנות דלק.

הניתוח של Claroty של IOCONTROL חשף דגימה שהתקבלה ממערכת בקרת דלק של Gasboy - קשורה באופן הדוק ל-Orpak - מה שמצביע על כך שהקבוצה העלתה מחדש את הקמפיין שלה באמצע 2024. למרות חקירות מתמשכות, עדיין לא ברור כיצד הופצה התוכנה הזדונית בתחילה.

ההשלכות הרחבות יותר

ההתקפות המיוחסות ל-IOCONTROL מדגישות את ההתמקדות הגוברת בתשתיות קריטיות אזרחיות כמטרה לקמפיינים סייבר בחסות המדינה. על ידי ניצול פגיעויות IoT ו-OT, קבוצות כמו CyberAv3ngers יכולות לגרום לשיבושים נרחבים, החל מהפסקת אספקת המים ועד לעצירת הפצת הדלק. פעולות אלו לא רק מהוות סיכונים לביטחון הציבור אלא גם יוצרות מתח גיאופוליטי.

בתגובה, ממשלת ארה"ב הציעה פרס של עד 10 מיליון דולר עבור מידע שיוביל לזיהוי או מעצר של אנשים הקשורים ל-CyberAv3ngers. זה מדגיש את חומרת איומי הסייבר הללו ואת הצורך הדחוף בהגנות חזקות יותר נגדם.

הגנה מפני IOCONTROL ואיומים דומים

ארגונים המנהלים מכשירי IoT ו-OT צריכים לנקוט בצעדים הבאים כדי להפחית סיכונים:

1. שנה אישורי ברירת מחדל: התקפות רבות מצליחות בגלל סיסמאות חלשות, ברירת המחדל של היצרן. יישם מדיניות סיסמאות חזקה באופן מיידי.
2. פילוח רשת: בידוד התקני ICS ו-OT מרשתות הפונות לאינטרנט כדי להגביל נקודות גישה פוטנציאליות לתוקפים.
3. עדכונים ותיקונים רגילים: ודא שכל המכשירים מריצים את עדכוני הקושחה והאבטחה העדכניים ביותר.
4. מעקב אחר חריגות: פרוס מערכות זיהוי חדירה כדי לזהות פעילות חריגה, כגון סריקות יציאות או ניסיונות גישה לא מורשים.
5. הגבל גישה מרחוק: הגבל גישה להתקני ICS ו-OT, לאפשר חיבורים רק מכתובות IP מהימנות.

מילים אחרונות

קמפיין התוכנות הזדוניות של IOCONTROL הוא תזכורת מוחלטת לפגיעויות הגלומות במערכות IoT ו-OT. מכיוון שקבוצות בחסות המדינה כמו CyberAv3ngers מתמקדות יותר ויותר בתשתיות קריטיות, ארגונים חייבים לאמץ אמצעי אבטחת סייבר יזומים כדי להתגונן מפני האיומים המתפתחים הללו. על ידי אבטחת הרשתות שלהם, הם יכולים למנוע התקפות שעלולות להיות להן השפעות הרסניות על בטיחות הציבור ושירותים חיוניים.