Rabattoffert för flera licenser
Datorsäkerhet Iranska hackare distribuerar IOCONTROL Malware för att...

Iranska hackare distribuerar IOCONTROL Malware för att rikta in sig på IoT- och OT-enheter i USA och Israel

Med Mura år Datorsäkerhet
Översätt till:
Svenska

En ökänd iransk hackargrupp, CyberAv3ngers, har kopplats till en serie cyberattacker riktade mot IoT (Internet of Things) och OT (Operational Technology)-enheter i USA och Israel. Den specialbyggda skadliga programvaran bakom dessa attacker, kallad IOCONTROL, är utformad för att infiltrera kritisk infrastruktur och väcka larm bland både cybersäkerhetsexperter och regeringar.

Statssponsrade hot mot kritisk infrastruktur

CyberAv3ngers, som påstår sig vara en hacktivistgrupp, har varit knuten till Irans islamiska revolutionsgardet (IRGC). Gruppen har tidigare riktat in sig på industriella kontrollsystem (ICS) vid vattenanläggningar i Irland och USA, vilket orsakat betydande störningar. Till exempel, i en attack 2023 mot ett vattenverk i Pennsylvania, utnyttjade hackarna dåligt säkrad ICS, vilket ledde till två dagars vattenavbrott.

Den oroande aspekten av dessa attacker är deras beroende av grundläggande sårbarheter. Många ICS- och OT-enheter är exponerade för internet med standardlösenord, vilket gör dem till enkla mål för angripare utan att behöva avancerade hackningstekniker. Dessa luckor i säkerheten belyser de pågående riskerna som utgörs av svaga infrastrukturskydd.

Hur IOCONTROL skadlig programvara fungerar

Enligt forskare vid Claroty är IOCONTROL ett cybervapen speciellt designat för att rikta in sig på inbäddade Linux-baserade enheter i IoT- och OT-miljöer. Skadlig programvara är mångsidig och kan anpassas för olika enheter, inklusive:

  • IP-kameror
  • Routrar
  • SCADA-system
  • PLC:er (Programmerbara Logic Controllers)
  • HMI:er (Human-Machine Interfaces)
  • Brandväggar

Anmärkningsvärda leverantörer som påverkas inkluderar bland annat Baicells, D-Link, Hikvision, Phoenix Contact, Teltonika och Unitronics. Denna breda inriktning tyder på att skadlig programvara kan utnyttja flera typer av enheter som är integrerade i industriella och operativa nätverk.

IOCONTROL kommunicerar med sina operatörer via MQTT-protokollet, en lätt maskin-till-maskin kommunikationsstandard. Detta gör att angripare kan exekvera godtycklig kod, utföra portskanningar och sprida skadlig programvara i sidled över nätverk och få djupare kontroll över komprometterade system.

Senaste högprofilsattacker

En av de mest alarmerande kampanjerna inträffade i oktober 2023, då CyberAv3ngers påstod sig ha stört 200 bensinpumpar i Israel. Attacken utnyttjade enheter kopplade till Orpak Systems, ett företag som tillhandahåller lösningar för bensinstationshantering.

Clarotys analys av IOCONTROL avslöjade ett prov som erhållits från ett Gasboy-bränslekontrollsystem – nära knutet till Orpak – vilket tyder på att gruppen potentiellt hade återlanserat sin kampanj i mitten av 2024. Trots pågående utredningar är det fortfarande oklart hur skadlig programvara ursprungligen distribuerades.

De bredare konsekvenserna

Attackerna som tillskrivs IOCONTROL belyser det ökande fokuset på civil kritisk infrastruktur som ett mål för statligt sponsrade cyberkampanjer. Genom att utnyttja IoT- och OT-sårbarheter kan grupper som CyberAv3ngers orsaka omfattande störningar, från att avbryta vattenförsörjningen till att stoppa bränsledistributionen. Dessa åtgärder utgör inte bara risker för den allmänna säkerheten utan skapar också geopolitiska spänningar.

Som svar har den amerikanska regeringen erbjudit en belöning på upp till 10 miljoner dollar för information som leder till identifiering eller arrestering av individer associerade med CyberAv3ngers. Detta understryker allvaret i dessa cyberhot och det akuta behovet av starkare försvar mot dem.

Skyddar mot IOCONTROL och liknande hot

Organisationer som hanterar IoT- och OT-enheter bör vidta följande åtgärder för att minska riskerna:

  1. Ändra standardinloggningsuppgifter: Många attacker lyckas på grund av svaga fabriksstandardlösenord. Implementera starka lösenordspolicyer omedelbart.
  2. Nätverkssegmentering: Isolera ICS- och OT-enheter från internetanslutna nätverk för att begränsa potentiella åtkomstpunkter för angripare.
  3. Regelbundna uppdateringar och patchar: Se till att alla enheter kör den senaste firmware och säkerhetsuppdateringar.
  4. Övervaka avvikelser: Distribuera intrångsdetekteringssystem för att identifiera ovanlig aktivitet, såsom portskanningar eller obehöriga åtkomstförsök.
  5. Begränsa fjärråtkomst: Begränsa åtkomst till ICS- och OT-enheter, tillåt endast anslutningar från betrodda IP-adresser.

Slutord

IOCONTROL malware-kampanjen är en skarp påminnelse om sårbarheterna i IoT- och OT-system. Eftersom statligt sponsrade grupper som CyberAv3ngers i allt högre grad riktar in sig på kritisk infrastruktur, måste organisationer vidta proaktiva cybersäkerhetsåtgärder för att försvara sig mot dessa växande hot. Genom att säkra sina nätverk kan de förhindra attacker som kan ha förödande effekter på allmän säkerhet och viktiga tjänster.

Läser in...