Kortingsaanbieding voor meerdere licenties
Computerbeveiliging Iraanse hackers implementeren IOCONTROL-malware om IoT-...

Iraanse hackers implementeren IOCONTROL-malware om IoT- en OT-apparaten in de VS en Israël aan te vallen

Tegen Mura in Computerbeveiliging
Vertalen naar:
Nederlands

Een beruchte Iraanse hackersgroep, CyberAv3ngers, is in verband gebracht met een reeks cyberaanvallen gericht op IoT (Internet of Things) en OT (Operational Technology) apparaten in de Verenigde Staten en Israël. De op maat gemaakte malware achter deze aanvallen, genaamd IOCONTROL, is ontworpen om kritieke infrastructuur te infiltreren, wat alarmbellen doet rinkelen bij cybersecurity experts en overheden.

Door de staat gesponsorde bedreigingen voor kritieke infrastructuur

CyberAv3ngers, dat beweert een hacktivistische groep te zijn, is gelinkt aan de Islamitische Revolutionaire Garde van Iran (IRGC). De groep heeft eerder industriële controlesystemen (ICS) aangevallen bij waterfaciliteiten in Ierland en de Verenigde Staten, wat tot aanzienlijke verstoringen heeft geleid. Bijvoorbeeld, bij een aanval in 2023 op een waterbedrijf in Pennsylvania, maakten de hackers misbruik van slecht beveiligde ICS, wat leidde tot twee dagen van wateruitval.

Het zorgwekkende aspect van deze aanvallen is hun afhankelijkheid van basiskwetsbaarheden. Veel ICS- en OT-apparaten worden blootgesteld aan het internet met standaardwachtwoorden, waardoor ze een makkelijk doelwit zijn voor aanvallers zonder dat ze geavanceerde hacktechnieken nodig hebben. Deze gaten in de beveiliging benadrukken de voortdurende risico's die zwakke infrastructuurbeveiligingen met zich meebrengen.

Hoe IOCONTROL-malware werkt

Volgens onderzoekers van Claroty is IOCONTROL een cyberwapen dat speciaal is ontworpen om embedded Linux-gebaseerde apparaten in IoT- en OT-omgevingen te targeten. De malware is veelzijdig en kan worden aangepast voor verschillende apparaten, waaronder:

  • IP-camera's
  • Routers
  • SCADA-systemen
  • PLC's (Programmable Logic Controllers)
  • HMI's (Human-Machine Interfaces)
  • Brandmuren

Bekende leveranciers die zijn getroffen zijn onder andere Baicells, D-Link, Hikvision, Phoenix Contact, Teltonika en Unitronics. Deze brede targeting suggereert dat de malware meerdere typen apparaten kan exploiteren die integraal deel uitmaken van industriële en operationele netwerken.

IOCONTROL communiceert met zijn operators via het MQTT-protocol, een lichtgewicht machine-to-machine communicatiestandaard. Dit stelt aanvallers in staat om willekeurige code uit te voeren, poortscans uit te voeren en malware lateraal over netwerken te verspreiden, waardoor ze meer controle krijgen over gecompromitteerde systemen.

Recente, opvallende aanvallen

Een van de meest alarmerende campagnes vond plaats in oktober 2023, toen CyberAv3ngers beweerde 200 benzinepompen in Israël te hebben verstoord. De aanval maakte gebruik van apparaten die waren gekoppeld aan Orpak Systems, een bedrijf dat oplossingen voor het beheer van benzinestations levert.

Claroty's analyse van IOCONTROL onthulde een monster verkregen uit een Gasboy-brandstofcontrolesysteem - nauw verbonden met Orpak - wat aangeeft dat de groep mogelijk zijn campagne medio 2024 opnieuw had gelanceerd. Ondanks lopende onderzoeken blijft het onduidelijk hoe de malware aanvankelijk werd verspreid.

De bredere implicaties

De aanvallen die aan IOCONTROL worden toegeschreven, benadrukken de toenemende focus op civiele kritieke infrastructuur als doelwit voor door de staat gesponsorde cybercampagnes. Door IoT- en OT-kwetsbaarheden te exploiteren, kunnen groepen zoals CyberAv3ngers wijdverbreide verstoringen veroorzaken, van het onderbreken van watertoevoer tot het stoppen van brandstofdistributie. Deze acties vormen niet alleen risico's voor de openbare veiligheid, maar creëren ook geopolitieke spanningen.

Als reactie hierop heeft de Amerikaanse overheid een beloning van maximaal $ 10 miljoen uitgeloofd voor informatie die leidt tot de identificatie of arrestatie van personen die geassocieerd worden met CyberAv3ngers. Dit onderstreept de ernst van deze cyberdreigingen en de dringende behoefte aan sterkere verdedigingen hiertegen.

Bescherming tegen IOCONTROL en soortgelijke bedreigingen

Organisaties die IoT- en OT-apparaten beheren, moeten de volgende stappen ondernemen om risico's te beperken:

  1. Standaardreferenties wijzigen: Veel aanvallen slagen vanwege zwakke, standaardwachtwoorden. Implementeer direct een sterk wachtwoordbeleid.
  2. Netwerksegmentatie: Isoleer ICS- en OT-apparaten van internetgerichte netwerken om potentiële toegangspunten voor aanvallers te beperken.
  3. Regelmatige updates en patches: zorg ervoor dat alle apparaten de nieuwste firmware en beveiligingsupdates gebruiken.
  4. Controleer op afwijkingen: implementeer systemen voor inbraakdetectie om ongebruikelijke activiteiten te identificeren, zoals poortscans of ongeautoriseerde toegangspogingen.
  5. Beperk externe toegang: beperk de toegang tot ICS- en OT-apparaten en sta alleen verbindingen toe vanaf vertrouwde IP-adressen.

Laatste woorden

De IOCONTROL-malwarecampagne is een harde herinnering aan de kwetsbaarheden die inherent zijn aan IoT- en OT-systemen. Omdat door de staat gesponsorde groepen zoals CyberAv3ngers zich steeds meer richten op kritieke infrastructuur, moeten organisaties proactieve cyberbeveiligingsmaatregelen nemen om zich te verdedigen tegen deze evoluerende bedreigingen. Door hun netwerken te beveiligen, kunnen ze aanvallen voorkomen die verwoestende gevolgen kunnen hebben voor de openbare veiligheid en essentiële diensten.

Bezig met laden...