Oferta rabatowa na wiele licencji
Bezpieczeństwo komputerowe Irańscy hakerzy wdrażają złośliwe oprogramowanie...

Irańscy hakerzy wdrażają złośliwe oprogramowanie IOCONTROL, aby atakować urządzenia IoT i OT w USA i Izraelu

Do Mura w Bezpieczeństwo komputerowe
Przetłumacz na:
Polski

Znana irańska grupa hakerska CyberAv3ngers została powiązana z serią cyberataków wymierzonych w urządzenia IoT (Internet of Things) i OT (Operational Technology) w Stanach Zjednoczonych i Izraelu. Specjalnie opracowane złośliwe oprogramowanie stojące za tymi atakami, nazwane IOCONTROL, ma na celu infiltrację krytycznej infrastruktury, co wzbudza niepokój wśród ekspertów ds. cyberbezpieczeństwa i rządów.

Zagrożenia dla infrastruktury krytycznej sponsorowane przez państwo

CyberAv3ngers, który twierdzi, że jest grupą hakerów, jest powiązany z Korpusem Strażników Rewolucji Islamskiej (IRGC) Iranu. Grupa ta wcześniej atakowała systemy sterowania przemysłowego (ICS) w obiektach wodnych w Irlandii i Stanach Zjednoczonych, powodując znaczne zakłócenia. Na przykład w jednym ataku na zakład wodociągowy w Pensylwanii w 2023 r. hakerzy wykorzystali słabo zabezpieczone systemy ICS, co doprowadziło do dwudniowych przerw w dostawie wody.

Niepokojącym aspektem tych ataków jest ich poleganie na podstawowych lukach. Wiele urządzeń ICS i OT jest wystawionych na działanie Internetu z domyślnymi hasłami, co czyni je łatwymi celami dla atakujących bez potrzeby stosowania zaawansowanych technik hakerskich. Te luki w zabezpieczeniach podkreślają ciągłe ryzyko wynikające ze słabych zabezpieczeń infrastruktury.

Jak działa złośliwe oprogramowanie IOCONTROL

Według badaczy z Claroty, IOCONTROL to cyberbroń zaprojektowana specjalnie do atakowania urządzeń opartych na systemie Linux w środowiskach IoT i OT. To złośliwe oprogramowanie jest wszechstronne i można je dostosować do różnych urządzeń, w tym:

  • Kamery IP
  • Routery
  • Systemy SCADA
  • Sterowniki PLC (Programowalne Sterowniki Logiczne)
  • HMI (interfejsy człowiek-maszyna)
  • Zapory sieciowe

Znani dostawcy, których to dotyczy, to m.in. Baicells, D-Link, Hikvision, Phoenix Contact, Teltonika i Unitronics. To szerokie ukierunkowanie sugeruje, że złośliwe oprogramowanie może wykorzystywać wiele typów urządzeń integralnych dla sieci przemysłowych i operacyjnych.

IOCONTROL komunikuje się ze swoimi operatorami za pośrednictwem protokołu MQTT, lekkiego standardu komunikacji maszyna-maszyna. Umożliwia to atakującym wykonywanie dowolnego kodu, skanowanie portów i rozprzestrzenianie złośliwego oprogramowania w sieciach, uzyskując głębszą kontrolę nad naruszonymi systemami.

Ostatnie ataki na wysokim szczeblu

Jedna z najbardziej alarmujących kampanii miała miejsce w październiku 2023 r., kiedy CyberAv3ngers twierdzili, że zakłócili pracę 200 dystrybutorów benzyny w Izraelu. Atak wykorzystywał urządzenia powiązane z Orpak Systems, firmą dostarczającą rozwiązania do zarządzania stacjami benzynowymi.

Analiza IOCONTROL przeprowadzona przez Claroty'ego ujawniła próbkę pobraną z systemu kontroli paliwa Gasboy — ściśle powiązanego z Orpak — co wskazuje, że grupa potencjalnie wznowiła swoją kampanię w połowie 2024 r. Pomimo trwających dochodzeń, nadal nie jest jasne, w jaki sposób złośliwe oprogramowanie zostało pierwotnie rozpowszechnione.

Szersze implikacje

Ataki przypisywane IOCONTROL podkreślają rosnący nacisk na cywilną infrastrukturę krytyczną jako cel sponsorowanych przez państwo cyberkampanii. Wykorzystując luki w zabezpieczeniach IoT i OT, grupy takie jak CyberAv3ngers mogą powodować powszechne zakłócenia, od przerywania dostaw wody po wstrzymywanie dystrybucji paliwa. Działania te nie tylko stanowią zagrożenie dla bezpieczeństwa publicznego, ale także tworzą napięcia geopolityczne.

W odpowiedzi rząd USA zaoferował nagrodę w wysokości do 10 milionów dolarów za informacje prowadzące do identyfikacji lub aresztowania osób powiązanych z CyberAv3ngers. Podkreśla to powagę tych cyberzagrożeń i pilną potrzebę silniejszej obrony przed nimi.

Ochrona przed IOCONTROL i podobnymi zagrożeniami

Organizacje zarządzające urządzeniami IoT i OT powinny podjąć następujące kroki w celu ograniczenia ryzyka:

  1. Zmień domyślne poświadczenia: Wiele ataków kończy się sukcesem z powodu słabych, domyślnych haseł fabrycznych. Natychmiast wdróż silne zasady haseł.
  2. Segmentacja sieci: Izolowanie urządzeń ICS i OT od sieci mających dostęp do Internetu w celu ograniczenia potencjalnych punktów dostępu dla atakujących.
  3. Regularne aktualizacje i poprawki: upewnij się, że wszystkie urządzenia działają pod kontrolą najnowszych aktualizacji oprogramowania sprzętowego i zabezpieczeń.
  4. Monitoruj anomalie: Wdrażaj systemy wykrywania włamań w celu identyfikowania nietypowych działań, takich jak skanowanie portów lub próby nieautoryzowanego dostępu.
  5. Ogranicz dostęp zdalny: Ogranicz dostęp do urządzeń ICS i OT, zezwalając na połączenia wyłącznie z zaufanych adresów IP.

Ostatnie słowa

Kampania IOCONTROL malware jest jaskrawym przypomnieniem luk w zabezpieczeniach inherentnych dla systemów IoT i OT. Ponieważ sponsorowane przez państwo grupy, takie jak CyberAv3ngers, coraz częściej atakują krytyczną infrastrukturę, organizacje muszą przyjąć proaktywne środki cyberbezpieczeństwa, aby bronić się przed tymi rozwijającymi się zagrożeniami. Zabezpieczając swoje sieci, mogą zapobiegać atakom, które mogą mieć niszczycielskie skutki dla bezpieczeństwa publicznego i podstawowych usług.

Ładowanie...