ใบเสนอราคาส่วนลดใบอนุญาตหลายใบ
ความปลอดภัยทางคอมพิวเตอร์ แฮกเกอร์ชาวอิหร่านใช้มัลแวร์ IOCONTROL เพื่อโจมตีอุปกรณ์...

แฮกเกอร์ชาวอิหร่านใช้มัลแวร์ IOCONTROL เพื่อโจมตีอุปกรณ์ IoT และ OT ในสหรัฐอเมริกาและอิสราเอล

โดย Mura ใน ความปลอดภัยทางคอมพิวเตอร์
แปลเป็น:
ภาษาไทย

กลุ่มแฮกเกอร์อิหร่านชื่อดัง CyberAv3ngers มีส่วนเกี่ยวข้องกับการโจมตีทางไซเบอร์หลายครั้ง โดยมีเป้าหมายที่อุปกรณ์ IoT (Internet of Things) และ OT (Operational Technology) ในสหรัฐอเมริกาและอิสราเอล มัลแวร์ที่สร้างขึ้นเองซึ่งอยู่เบื้องหลังการโจมตีเหล่านี้ ซึ่งมีชื่อว่า IOCONTROL ถูกออกแบบมาเพื่อแทรกซึมเข้าไปในโครงสร้างพื้นฐานที่สำคัญ ทำให้ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์และรัฐบาลต่างกังวล

ภัยคุกคามจากรัฐต่อโครงสร้างพื้นฐานที่สำคัญ

CyberAv3ngers ซึ่งอ้างว่าเป็นกลุ่มแฮกเกอร์ ได้เชื่อมโยงกับกองกำลังพิทักษ์การปฏิวัติอิสลามของอิหร่าน (IRGC) กลุ่มนี้เคยโจมตีระบบควบคุมอุตสาหกรรม (ICS) ที่โรงงานน้ำในไอร์แลนด์และสหรัฐอเมริกา ทำให้เกิดการหยุดชะงักอย่างมาก ตัวอย่างเช่น ในปี 2023 แฮกเกอร์ได้ใช้ประโยชน์จาก ICS ที่รักษาความปลอดภัยไม่ดี ส่งผลให้ระบบประปาหยุดทำงานนานถึงสองวัน

สิ่งที่น่ากังวลของการโจมตีเหล่านี้คือการพึ่งพาช่องโหว่พื้นฐาน อุปกรณ์ ICS และ OT จำนวนมากถูกเปิดเผยต่ออินเทอร์เน็ตด้วยรหัสผ่านเริ่มต้น ทำให้อุปกรณ์เหล่านี้ตกเป็นเป้าหมายของผู้โจมตีได้ง่ายโดยไม่ต้องใช้เทคนิคการแฮ็กขั้นสูง ช่องโหว่ด้านความปลอดภัยเหล่านี้เน้นย้ำถึงความเสี่ยงที่เกิดขึ้นอย่างต่อเนื่องจากการป้องกันโครงสร้างพื้นฐานที่อ่อนแอ

มัลแวร์ IOCONTROL ทำงานอย่างไร

ตามที่นักวิจัยของ Claroty ระบุ IOCONTROL เป็นอาวุธไซเบอร์ที่ออกแบบมาโดยเฉพาะเพื่อกำหนดเป้าหมายอุปกรณ์ที่ใช้ Linux ฝังตัวในสภาพแวดล้อม IoT และ OT มัลแวร์นี้มีความคล่องตัวและสามารถปรับแต่งให้เหมาะกับอุปกรณ์ต่างๆ ได้ เช่น:

  • กล้องไอพี
  • เราเตอร์
  • ระบบ SCADA
  • PLC (ตัวควบคุมลอจิกที่ตั้งโปรแกรมได้)
  • HMI (อินเทอร์เฟซระหว่างมนุษย์กับเครื่องจักร)
  • ไฟร์วอลล์

ผู้จำหน่ายที่ได้รับผลกระทบได้แก่ Baicells, D-Link, Hikvision, Phoenix Contact, Teltonika และ Unitronics เป็นต้น การกำหนดเป้าหมายที่กว้างนี้บ่งชี้ว่ามัลแวร์สามารถใช้ประโยชน์จากอุปกรณ์หลายประเภทที่รวมอยู่ในเครือข่ายอุตสาหกรรมและการทำงาน

IOCONTROL สื่อสารกับผู้ปฏิบัติการผ่านโปรโตคอล MQTT ซึ่งเป็นมาตรฐานการสื่อสารระหว่างเครื่องที่มีน้ำหนักเบา ซึ่งช่วยให้ผู้โจมตีสามารถรันโค้ดตามอำเภอใจ สแกนพอร์ต และแพร่กระจายมัลแวร์ในเครือข่าย ทำให้สามารถควบคุมระบบที่ถูกบุกรุกได้ลึกขึ้น

การโจมตีระดับสูงล่าสุด

แคมเปญที่น่าตกใจที่สุดครั้งหนึ่งเกิดขึ้นในเดือนตุลาคม 2023 เมื่อ CyberAv3ngers อ้างว่าได้ทำลายปั๊มน้ำมัน 200 แห่งในอิสราเอล การโจมตีดังกล่าวใช้ประโยชน์จากอุปกรณ์ที่เชื่อมโยงกับ Orpak Systems ซึ่งเป็นบริษัทที่ให้บริการโซลูชันการจัดการสถานีบริการน้ำมัน

การวิเคราะห์ IOCONTROL ของ Claroty เผยให้เห็นตัวอย่างที่ได้จากระบบควบคุมเชื้อเพลิงของ Gasboy ซึ่งมีความเกี่ยวข้องอย่างใกล้ชิดกับ Orpak ซึ่งบ่งชี้ว่ากลุ่มดังกล่าวอาจเปิดตัวแคมเปญใหม่อีกครั้งในช่วงกลางปี 2024 แม้จะมีการสืบสวนอย่างต่อเนื่อง แต่ยังคงไม่ชัดเจนว่ามัลแวร์ถูกแพร่กระจายในตอนแรกอย่างไร

ผลกระทบที่กว้างขึ้น

การโจมตีที่เกิดจาก IOCONTROL เน้นย้ำถึงการให้ความสำคัญกับโครงสร้างพื้นฐานที่สำคัญของพลเรือนมากขึ้นในฐานะเป้าหมายของแคมเปญไซเบอร์ที่ได้รับการสนับสนุนจากรัฐ กลุ่มต่างๆ เช่น CyberAv3ngers สามารถสร้างความวุ่นวายในวงกว้างได้ตั้งแต่การหยุดชะงักของแหล่งน้ำไปจนถึงการหยุดจ่ายเชื้อเพลิง การกระทำเหล่านี้ไม่เพียงแต่ก่อให้เกิดความเสี่ยงต่อความปลอดภัยสาธารณะเท่านั้น แต่ยังสร้างความตึงเครียดทางภูมิรัฐศาสตร์อีกด้วย

รัฐบาลสหรัฐฯ ตอบโต้ด้วยการเสนอรางวัลสูงถึง 10 ล้านเหรียญสหรัฐฯ สำหรับข้อมูลที่นำไปสู่การระบุตัวตนหรือการจับกุมบุคคลที่เกี่ยวข้องกับ CyberAv3ngers ซึ่งสะท้อนให้เห็นถึงความร้ายแรงของภัยคุกคามทางไซเบอร์เหล่านี้ และความจำเป็นเร่งด่วนในการป้องกันที่เข้มแข็งยิ่งขึ้นต่อภัยคุกคามเหล่านี้

การป้องกัน IOCONTROL และภัยคุกคามที่คล้ายคลึงกัน

องค์กรที่จัดการอุปกรณ์ IoT และ OT ควรดำเนินการตามขั้นตอนต่อไปนี้เพื่อลดความเสี่ยง:

  1. เปลี่ยนข้อมูลประจำตัวเริ่มต้น: การโจมตีหลายครั้งประสบความสำเร็จเนื่องจากรหัสผ่านเริ่มต้นจากโรงงานที่อ่อนแอ ให้ใช้นโยบายรหัสผ่านที่แข็งแกร่งทันที
  2. การแบ่งส่วนเครือข่าย: แยกอุปกรณ์ ICS และ OT ออกจากเครือข่ายที่เชื่อมต่อกับอินเทอร์เน็ตเพื่อจำกัดจุดเข้าถึงที่อาจเกิดขึ้นสำหรับผู้โจมตี
  3. การอัปเดตและการแพตช์ตามปกติ: ตรวจสอบ ให้แน่ใจว่าอุปกรณ์ทั้งหมดกำลังทำงานด้วยเฟิร์มแวร์ล่าสุดและการอัปเดตความปลอดภัย
  4. ตรวจสอบสิ่งผิดปกติ: ติดตั้งระบบตรวจจับการบุกรุกเพื่อระบุกิจกรรมที่ผิดปกติ เช่น การสแกนพอร์ตหรือการพยายามเข้าถึงโดยไม่ได้รับอนุญาต
  5. จำกัดการเข้าถึงระยะไกล: จำกัดการเข้าถึงอุปกรณ์ ICS และ OT โดยอนุญาตการเชื่อมต่อจากที่อยู่ IP ที่เชื่อถือได้เท่านั้น

คำพูดสุดท้าย

แคมเปญมัลแวร์ IOCONTROL เป็นตัวเตือนที่ชัดเจนถึงช่องโหว่ที่แฝงอยู่ในระบบ IoT และ OT เนื่องจากกลุ่มที่ได้รับการสนับสนุนจากรัฐ เช่น CyberAv3ngers มุ่งเป้าไปที่โครงสร้างพื้นฐานที่สำคัญมากขึ้น องค์กรต่างๆ จึงต้องใช้มาตรการป้องกันความปลอดภัยทางไซเบอร์เชิงรุกเพื่อป้องกันภัยคุกคามที่เปลี่ยนแปลงไปเหล่านี้ การรักษาความปลอดภัยเครือข่ายจะช่วยป้องกันการโจมตีที่อาจส่งผลกระทบร้ายแรงต่อความปลอดภัยสาธารณะและบริการที่จำเป็นได้

กำลังโหลด...