Preventivo sconto multi-licenza
Sicurezza informatica Gli hacker iraniani distribuiscono il malware IOCONTROL...

Gli hacker iraniani distribuiscono il malware IOCONTROL per colpire i dispositivi IoT e OT negli Stati Uniti e in Israele

Entro Mura nel Sicurezza informatica
Traduci in:
Italiano

Un noto gruppo di hacker iraniano, CyberAv3ngers, è stato collegato a una serie di attacchi informatici mirati a dispositivi IoT (Internet of Things) e OT (Operational Technology) negli Stati Uniti e in Israele. Il malware personalizzato dietro questi attacchi, denominato IOCONTROL, è progettato per infiltrarsi in infrastrutture critiche, sollevando allarmi tra esperti di sicurezza informatica e governi.

Minacce sponsorizzate dallo Stato alle infrastrutture critiche

CyberAv3ngers, che sostiene di essere un gruppo di hacktivisti, è stato collegato al Corpo delle guardie rivoluzionarie islamiche (IRGC) dell'Iran. Il gruppo ha precedentemente preso di mira i sistemi di controllo industriale (ICS) presso gli impianti idrici in Irlanda e negli Stati Uniti, causando notevoli interruzioni. Ad esempio, in un attacco del 2023 a un servizio idrico in Pennsylvania, gli hacker hanno sfruttato ICS scarsamente protetti, causando due giorni di interruzioni della fornitura idrica.

L'aspetto preoccupante di questi attacchi è il loro affidamento su vulnerabilità di base. Molti dispositivi ICS e OT vengono lasciati esposti a Internet con password predefinite, il che li rende facili bersagli per gli aggressori senza bisogno di tecniche di hacking avanzate. Queste lacune nella sicurezza evidenziano i rischi in corso posti da deboli protezioni infrastrutturali.

Come funziona il malware IOCONTROL

Secondo i ricercatori di Claroty, IOCONTROL è un'arma informatica progettata specificamente per colpire dispositivi basati su Linux embedded in ambienti IoT e OT. Il malware è versatile e può essere personalizzato per diversi dispositivi, tra cui:

  • Telecamere IP
  • Router
  • Sistemi SCADA
  • PLC (controllori logici programmabili)
  • HMI (Interfacce uomo-macchina)
  • Firewall

Tra i vendor più noti interessati ci sono Baicells, D-Link, Hikvision, Phoenix Contact, Teltonika e Unitronics, tra gli altri. Questo targeting ampio suggerisce che il malware può sfruttare più tipi di dispositivi integrati nelle reti industriali e operative.

IOCONTROL comunica con i suoi operatori tramite il protocollo MQTT, uno standard di comunicazione machine-to-machine leggero. Ciò consente agli aggressori di eseguire codice arbitrario, eseguire scansioni di porte e diffondere malware lateralmente attraverso le reti, ottenendo un controllo più approfondito sui sistemi compromessi.

Attacchi recenti di alto profilo

Una delle campagne più allarmanti si è verificata nell'ottobre 2023, quando CyberAv3ngers ha affermato di aver interrotto 200 pompe di benzina in Israele. L'attacco ha sfruttato dispositivi collegati a Orpak Systems, un'azienda che fornisce soluzioni di gestione delle stazioni di servizio.

L'analisi di IOCONTROL di Claroty ha rivelato un campione ottenuto da un sistema di controllo del carburante Gasboy, strettamente legato a Orpak, indicando che il gruppo aveva potenzialmente rilanciato la sua campagna a metà del 2024. Nonostante le indagini in corso, non è ancora chiaro come il malware sia stato inizialmente distribuito.

Le implicazioni più ampie

Gli attacchi attribuiti a IOCONTROL evidenziano la crescente attenzione rivolta alle infrastrutture critiche civili come obiettivo per le campagne informatiche sponsorizzate dallo stato. Sfruttando le vulnerabilità IoT e OT, gruppi come CyberAv3ngers possono causare interruzioni diffuse, dall'interruzione delle forniture idriche all'arresto della distribuzione di carburante. Queste azioni non solo pongono rischi per la sicurezza pubblica, ma creano anche tensioni geopolitiche.

In risposta, il governo degli Stati Uniti ha offerto una ricompensa fino a 10 milioni di dollari per informazioni che portino all'identificazione o all'arresto di individui associati a CyberAv3ngers. Ciò sottolinea la gravità di queste minacce informatiche e l'urgente necessità di difese più forti contro di esse.

Protezione contro IOCONTROL e minacce simili

Le organizzazioni che gestiscono dispositivi IoT e OT dovrebbero adottare le seguenti misure per mitigare i rischi:

  1. Modifica le credenziali predefinite: molti attacchi hanno successo a causa di password deboli, predefinite di fabbrica. Implementa immediatamente policy per password complesse.
  2. Segmentazione della rete: isolare i dispositivi ICS e OT dalle reti connesse a Internet per limitare i potenziali punti di accesso per gli aggressori.
  3. Aggiornamenti e patch regolari: assicurati che tutti i dispositivi dispongano degli ultimi aggiornamenti firmware e di sicurezza.
  4. Monitoraggio delle anomalie: implementare sistemi di rilevamento delle intrusioni per identificare attività insolite, come scansioni delle porte o tentativi di accesso non autorizzati.
  5. Limita l'accesso remoto: limita l'accesso ai dispositivi ICS e OT, consentendo connessioni solo da indirizzi IP attendibili.

Parole finali

La campagna malware IOCONTROL è un duro promemoria delle vulnerabilità insite nei sistemi IoT e OT. Poiché gruppi sponsorizzati dallo stato come CyberAv3ngers prendono sempre più di mira le infrastrutture critiche, le organizzazioni devono adottare misure di sicurezza informatica proattive per difendersi da queste minacce in evoluzione. Proteggendo le proprie reti, possono prevenire attacchi che potrebbero avere impatti devastanti sulla sicurezza pubblica e sui servizi essenziali.

Caricamento in corso...