Rabatttilbud for flere lisenser
Datasikkerhet Iranske hackere distribuerer IOCONTROL-malware for å...

Iranske hackere distribuerer IOCONTROL-malware for å målrette mot IoT- og OT-enheter i USA og Israel

Med Mura i Datasikkerhet
Oversett til:
Norsk

En beryktet iransk hackergruppe, CyberAv3ngers, har blitt koblet til en rekke nettangrep rettet mot IoT (Internet of Things) og OT (Operational Technology)-enheter i USA og Israel. Den spesialbygde skadevare bak disse angrepene, kalt IOCONTROL, er designet for å infiltrere kritisk infrastruktur, vekke alarmer både blant cybersikkerhetseksperter og myndigheter.

Statsstøttede trusler mot kritisk infrastruktur

CyberAv3ngers, som hevder å være en hacktivistgruppe, har vært knyttet til Irans islamske revolusjonsgarde (IRGC). Gruppen har tidligere målrettet industrielle kontrollsystemer (ICS) ved vannanlegg i Irland og USA, noe som har forårsaket betydelige forstyrrelser. For eksempel, i et 2023-angrep på et vannverk i Pennsylvania, utnyttet hackerne dårlig sikret ICS, noe som førte til to dager med vannforsyningsbrudd.

Det bekymrende aspektet ved disse angrepene er deres avhengighet av grunnleggende sårbarheter. Mange ICS- og OT-enheter blir eksponert for internett med standardpassord, noe som gjør dem til enkle mål for angripere uten å trenge avanserte hackingteknikker. Disse hullene i sikkerheten fremhever de pågående risikoene som utgjøres av svak infrastrukturbeskyttelse.

Hvordan IOCONTROL Malware fungerer

I følge forskere ved Claroty er IOCONTROL et nettvåpen spesielt utviklet for å målrette innbyggede Linux-baserte enheter i IoT- og OT-miljøer. Skadevaren er allsidig og kan tilpasses for forskjellige enheter, inkludert:

  • IP-kameraer
  • Rutere
  • SCADA-systemer
  • PLS-er (programmerbare logiske kontroller)
  • HMI-er (Human-Machine Interfaces)
  • Brannmurer

Viktige leverandører som er berørt inkluderer blant andre Baicells, D-Link, Hikvision, Phoenix Contact, Teltonika og Unitronics. Denne brede målrettingen antyder at skadelig programvare kan utnytte flere typer enheter som er integrert i industrielle og operasjonelle nettverk.

IOCONTROL kommuniserer med sine operatører via MQTT-protokollen, en lett maskin-til-maskin kommunikasjonsstandard. Dette lar angripere kjøre vilkårlig kode, utføre portskanninger og spre skadelig programvare sideveis på tvers av nettverk, og få dypere kontroll over kompromitterte systemer.

Nylige høyprofilangrep

En av de mest alarmerende kampanjene fant sted i oktober 2023, da CyberAv3ngers hevdet å ha forstyrret 200 bensinpumper i Israel. Angrepet utnyttet enheter knyttet til Orpak Systems, et selskap som leverer løsninger for bensinstasjoner.

Clarotys analyse av IOCONTROL avslørte en prøve hentet fra et Gasboy drivstoffkontrollsystem – nært knyttet til Orpak – noe som indikerte at gruppen potensielt hadde relansert kampanjen sin i midten av 2024. Til tross for pågående undersøkelser er det fortsatt uklart hvordan skadevaren opprinnelig ble distribuert.

De bredere implikasjonene

Angrepene tilskrevet IOCONTROL fremhever det økende fokuset på sivil kritisk infrastruktur som et mål for statsstøttede cyberkampanjer. Ved å utnytte IoT- og OT-sårbarheter kan grupper som CyberAv3ngers forårsake omfattende forstyrrelser, fra å avbryte vannforsyningen til å stoppe drivstoffdistribusjonen. Disse handlingene utgjør ikke bare en risiko for offentlig sikkerhet, men skaper også geopolitisk spenning.

Som svar har den amerikanske regjeringen tilbudt en belønning på opptil 10 millioner dollar for informasjon som fører til identifikasjon eller arrestasjon av personer tilknyttet CyberAv3ngers. Dette understreker alvoret til disse cybertruslene og det presserende behovet for sterkere forsvar mot dem.

Beskyttelse mot IOCONTROL og lignende trusler

Organisasjoner som administrerer IoT- og OT-enheter bør ta følgende skritt for å redusere risikoen:

  1. Endre standardlegitimasjon: Mange angrep lykkes på grunn av svake, fabrikkinnstilte passord. Implementer sterke passordpolitikk umiddelbart.
  2. Nettverkssegmentering: Isoler ICS- og OT-enheter fra Internett-vendte nettverk for å begrense potensielle tilgangspunkter for angripere.
  3. Regelmessige oppdateringer og oppdateringer: Sørg for at alle enheter kjører den nyeste fastvaren og sikkerhetsoppdateringene.
  4. Overvåk for uregelmessigheter: Implementer inntrengningsdeteksjonssystemer for å identifisere uvanlig aktivitet, for eksempel portskanning eller uautoriserte tilgangsforsøk.
  5. Begrens fjerntilgang: Begrens tilgang til ICS- og OT-enheter, og tillater kun tilkoblinger fra pålitelige IP-adresser.

Siste ord

IOCONTROL-malwarekampanjen er en sterk påminnelse om sårbarhetene som ligger i IoT- og OT-systemer. Ettersom statsstøttede grupper som CyberAv3ngers i økende grad retter seg mot kritisk infrastruktur, må organisasjoner ta i bruk proaktive nettsikkerhetstiltak for å forsvare seg mot disse utviklende truslene. Ved å sikre nettverkene deres kan de forhindre angrep som kan ha ødeleggende konsekvenser for offentlig sikkerhet og viktige tjenester.

Laster inn...