Több licencre vonatkozó kedvezményes árajánlat
Számítógépes biztonság Iráni hackerek IOCONTROL rosszindulatú programokat...

Iráni hackerek IOCONTROL rosszindulatú programokat telepítenek az IoT és OT-eszközök megcélzására az Egyesült Államokban és Izraelben

Mura -ra Számítógépes biztonság-ben
Fordítás ide:
Magyar

Egy hírhedt iráni hackercsoport, a CyberAv3ngers egy sor kibertámadáshoz kapcsolódik, amelyek IoT (Internet of Things) és OT (Operational Technology) eszközöket céloztak meg az Egyesült Államokban és Izraelben. A támadások mögött meghúzódó, személyre szabott kártevőt, az IOCONTROL-t úgy tervezték, hogy beszivárogjon a kritikus infrastruktúrákba, és riasztást keltsen a kiberbiztonsági szakértők és a kormányok körében.

Államilag szponzorált veszélyek a kritikus infrastruktúrákra

A CyberAv3ngers, amely hacktivista csoportnak vallja magát, kapcsolatban áll az iráni Iszlám Forradalmi Gárda Hadtestével (IRGC). A csoport korábban az ipari vezérlőrendszereket (ICS) vette célba Írországban és az Egyesült Államokban található vízi létesítményekben, ami jelentős fennakadásokat okozott. Például egy 2023-as pennsylvaniai víziközmű elleni támadás során a hackerek kihasználták a rosszul védett ICS-t, ami két napos vízkimaradáshoz vezetett.

E támadások aggasztó aspektusa az, hogy alapvető sebezhetőségekre hagyatkoznak. Sok ICS- és OT-eszköz alapértelmezett jelszavakkal van kitéve az internetnek, így könnyen célpontok lehetnek a támadók számára anélkül, hogy fejlett hackelési technikákra lenne szükségük. Ezek a biztonsági rések rávilágítanak a gyenge infrastruktúra-védelem által jelentett folyamatos kockázatokra.

Hogyan működik az IOCONTROL malware

A Claroty kutatói szerint az IOCONTROL egy kiberfegyver, amelyet kifejezetten a beágyazott Linux-alapú eszközök megcélzására terveztek IoT és OT környezetekben. A rosszindulatú program sokoldalú, és testreszabható különböző eszközökhöz, beleértve:

  • IP kamerák
  • Routerek
  • SCADA rendszerek
  • PLC-k (programozható logikai vezérlők)
  • HMI-k (ember-gép interfészek)
  • Tűzfalak

Az érintett jelentős gyártók közé tartozik többek között a Baicells, a D-Link, a Hikvision, a Phoenix Contact, a Teltonika és az Unitronics. Ez a széles körű célzás azt sugallja, hogy a rosszindulatú program többféle eszközt képes kihasználni, amelyek az ipari és működési hálózatok szerves részét képezik.

Az IOCONTROL az MQTT protokollon keresztül kommunikál kezelőivel, amely egy könnyű gépek közötti kommunikációs szabvány. Ez lehetővé teszi a támadók számára, hogy tetszőleges kódot hajtsanak végre, port-ellenőrzéseket hajtsanak végre, és a rosszindulatú programokat oldalirányban terjesszék a hálózatok között, így mélyebb ellenőrzést szerezhetnek a feltört rendszerek felett.

Legutóbbi nagy horderejű támadások

Az egyik legriasztóbb kampány 2023 októberében történt, amikor a CyberAv3ngers azt állította, hogy 200 gázszivattyút zavart meg Izraelben. A támadás az Orpak Systemshez, egy benzinkút-felügyeleti megoldásokat kínáló céghez kapcsolódó eszközöket használt ki.

A Claroty által az IOCONTROL-ról végzett elemzés feltárt egy mintát, amelyet egy Gasboy üzemanyag-szabályozó rendszerből vettek – amely szorosan kötődött az Orpakhoz –, ami arra utal, hogy a csoport 2024 közepén potenciálisan újraindította kampányát. A folyamatban lévő vizsgálatok ellenére továbbra sem világos, hogy a rosszindulatú program eredetileg hogyan terjedt el.

A tágabb vonatkozások

Az IOCONTROL-nak tulajdonított támadások rávilágítanak arra, hogy az államilag támogatott kiberkampányok célpontjaként egyre nagyobb hangsúlyt kap a polgári kritikus infrastruktúra. Az IoT és az OT sebezhetőségeinek kihasználásával az olyan csoportok, mint a CyberAv3ngers, széles körű zavarokat okozhatnak, a vízellátás megszakításától az üzemanyag-elosztás leállításáig. Ezek az akciók nemcsak a közbiztonságot veszélyeztetik, hanem geopolitikai feszültséget is keltenek.

Válaszul az Egyesült Államok kormánya legfeljebb 10 millió dollár jutalmat ajánlott fel a CyberAv3ngers-szel kapcsolatban álló személyek azonosításához vagy letartóztatásához vezető információkért. Ez aláhúzza ezeknek a kiberfenyegetéseknek a súlyosságát és azt, hogy sürgősen erősebb védekezésre van szükség ellenük.

Védelem az IOCONTROL és hasonló fenyegetések ellen

Az IoT- és OT-eszközöket kezelő szervezeteknek a következő lépéseket kell tenniük a kockázatok csökkentése érdekében:

  1. Alapértelmezett hitelesítő adatok módosítása: Sok támadás sikeres a gyenge, gyárilag beállított jelszavak miatt. Azonnal alkalmazza az erős jelszószabályokat.
  2. Hálózati szegmentálás: izolálja az ICS- és OT-eszközöket az internetre néző hálózatoktól, hogy korlátozza a támadók lehetséges hozzáférési pontjait.
  3. Rendszeres frissítések és javítások: Győződjön meg arról, hogy minden eszközön a legújabb firmware és biztonsági frissítések futnak.
  4. Anomáliák figyelése: Telepítsen behatolásérzékelő rendszereket a szokatlan tevékenységek, például a portellenőrzés vagy a jogosulatlan hozzáférési kísérletek azonosítására.
  5. Távoli hozzáférés korlátozása: Korlátozza a hozzáférést az ICS- és OT-eszközökhöz, és csak megbízható IP-címekről engedélyezi a kapcsolatokat.

Végső szavak

Az IOCONTROL rosszindulatú programokkal kapcsolatos kampánya határozottan emlékeztet az IoT és OT rendszerekben rejlő sebezhetőségekre. Mivel az olyan államilag támogatott csoportok, mint a CyberAv3ngers, egyre gyakrabban veszik célba a kritikus infrastruktúrát, a szervezeteknek proaktív kiberbiztonsági intézkedéseket kell elfogadniuk, hogy megvédjék magukat ezekkel a fejlődő fenyegetésekkel szemben. Hálózataik biztonságossá tételével megelőzhetik azokat a támadásokat, amelyek pusztító hatással lehetnek a közbiztonságra és az alapvető szolgáltatásokra.

Betöltés...