Иранские хакеры используют вредоносное ПО IOCONTROL для атак на устройства IoT и OT в США и Израиле

Известная иранская хакерская группа CyberAv3ngers была связана с серией кибератак, нацеленных на устройства IoT (Интернет вещей) и OT (Операционные технологии) в Соединенных Штатах и Израиле. Специально разработанное вредоносное ПО, стоящее за этими атаками, получившее название IOCONTROL, предназначено для проникновения в критическую инфраструктуру, что вызывает тревогу как среди экспертов по кибербезопасности, так и среди правительств.

Угрозы критической инфраструктуре, спонсируемые государством

CyberAv3ngers, которая называет себя хактивистской группой, связана с Корпусом стражей исламской революции (КСИР) Ирана. Ранее группа атаковала промышленные системы управления (ИСУ) на объектах водоснабжения в Ирландии и США, что привело к значительным сбоям. Например, в одной из атак 2023 года на водоканал в Пенсильвании хакеры использовали плохо защищенную ИСУ, что привело к двухдневным перебоям в подаче воды.

Тревожным аспектом этих атак является их зависимость от базовых уязвимостей. Многие устройства ICS и OT остаются открытыми для Интернета с паролями по умолчанию, что делает их легкой целью для злоумышленников без необходимости использования продвинутых методов взлома. Эти пробелы в безопасности подчеркивают текущие риски, создаваемые слабой защитой инфраструктуры.

Как работает вредоносное ПО IOCONTROL

По словам исследователей из Claroty, IOCONTROL — это кибероружие, специально разработанное для атак на встроенные устройства на базе Linux в средах IoT и OT. Вредоносное ПО универсально и может быть настроено для различных устройств, включая:

• IP-камеры
• Маршрутизаторы
• Системы SCADA
• ПЛК (программируемые логические контроллеры)
• HMI (человеко-машинные интерфейсы)
• Брандмауэры

Среди известных затронутых поставщиков — Baicells, D-Link, Hikvision, Phoenix Contact, Teltonika и Unitronics. Такая широкая направленность предполагает, что вредоносное ПО может эксплуатировать несколько типов устройств, являющихся неотъемлемой частью промышленных и операционных сетей.

IOCONTROL взаимодействует со своими операторами через протокол MQTT, облегченный стандарт межмашинной связи. Это позволяет злоумышленникам выполнять произвольный код, выполнять сканирование портов и распространять вредоносное ПО по сетям, получая более глубокий контроль над скомпрометированными системами.

Недавние громкие атаки

Одна из самых тревожных кампаний произошла в октябре 2023 года, когда CyberAv3ngers заявили, что нарушили работу 200 заправочных станций в Израиле. Атака использовала устройства, связанные с Orpak Systems, компанией, предоставляющей решения для управления заправочными станциями.

Анализ IOCONTROL, проведенный Claroty, выявил образец, полученный из системы контроля топлива Gasboy, тесно связанной с Orpak, что указывает на то, что группа потенциально возобновила свою кампанию в середине 2024 года. Несмотря на продолжающиеся расследования, остается неясным, как изначально распространялось вредоносное ПО.

Более широкие последствия

Атаки, приписываемые IOCONTROL, подчеркивают растущее внимание к гражданской критической инфраструктуре как к цели для спонсируемых государством киберкампаний. Эксплуатируя уязвимости IoT и OT, такие группы, как CyberAv3ngers, могут вызывать масштабные сбои, от перебоев в водоснабжении до прекращения поставок топлива. Эти действия не только представляют угрозу общественной безопасности, но и создают геополитическую напряженность.

В ответ правительство США предложило вознаграждение в размере до 10 миллионов долларов за информацию, которая приведет к идентификации или аресту лиц, связанных с CyberAv3ngers. Это подчеркивает серьезность этих киберугроз и настоятельную необходимость в более сильной защите от них.

Защита от IOCONTROL и подобных угроз

Организации, управляющие устройствами IoT и OT, должны предпринять следующие шаги для снижения рисков:

1. Изменить учетные данные по умолчанию: многие атаки успешны из-за слабых заводских паролей по умолчанию. Немедленно внедряйте политику надежных паролей.
2. Сегментация сети: изолируйте устройства ICS и OT от сетей, подключенных к Интернету, чтобы ограничить потенциальные точки доступа для злоумышленников.
3. Регулярные обновления и исправления: убедитесь, что на всех устройствах установлены последние версии прошивки и обновлений безопасности.
4. Отслеживайте аномалии: развертывайте системы обнаружения вторжений для выявления необычной активности, такой как сканирование портов или попытки несанкционированного доступа.
5. Ограничьте удаленный доступ: ограничьте доступ к устройствам ICS и OT, разрешив подключения только с доверенных IP-адресов.

Заключительные слова

Вредоносная кампания IOCONTROL — это суровое напоминание об уязвимостях, присущих системам IoT и OT. Поскольку спонсируемые государством группы, такие как CyberAv3ngers, все чаще нацеливаются на критическую инфраструктуру, организации должны принимать упреждающие меры кибербезопасности для защиты от этих развивающихся угроз. Обеспечивая безопасность своих сетей, они могут предотвратить атаки, которые могут иметь разрушительные последствия для общественной безопасности и основных служб.