Ang mga Iranian Hacker ay Nag-deploy ng IOCONTROL Malware upang I-target ang IoT at OT Device sa US at Israel

Ang isang kilalang Iranian hacking group, ang CyberAv3ngers, ay na-link sa isang serye ng mga cyberattacks na nagta-target sa IoT (Internet of Things) at OT (Operational Technology) na mga device sa United States at Israel. Ang custom-built na malware sa likod ng mga pag-atakeng ito, na tinatawag na IOCONTROL, ay idinisenyo upang makalusot sa mga kritikal na imprastraktura, na nagpapataas ng mga alarma sa mga dalubhasa sa cybersecurity at mga gobyerno.

Mga Banta na Inisponsor ng Estado sa Kritikal na Imprastraktura

Ang CyberAv3ngers, na nagsasabing isang hacktivist group, ay nakatali sa Islamic Revolutionary Guard Corps (IRGC) ng Iran. Dati nang na-target ng grupo ang mga industrial control system (ICS) sa mga pasilidad ng tubig sa Ireland at United States, na nagdulot ng malaking pagkagambala. Halimbawa, sa isang pag-atake noong 2023 sa isang utilidad ng tubig sa Pennsylvania, pinagsamantalahan ng mga hacker ang mahinang secured na ICS, na humantong sa dalawang araw na pagkawala ng supply ng tubig.

Ang nauukol na aspeto ng mga pag-atake na ito ay ang kanilang pag-asa sa mga pangunahing kahinaan. Maraming ICS at OT na device ang naiwang naka-expose sa internet na may mga default na password, na ginagawa itong madaling mga target para sa mga umaatake nang hindi nangangailangan ng mga advanced na diskarte sa pag-hack. Ang mga puwang na ito sa seguridad ay nagpapakita ng patuloy na mga panganib na dulot ng mahinang mga proteksyon sa imprastraktura.

Paano Gumagana ang IOCONTROL Malware

Ayon sa mga mananaliksik sa Claroty, ang IOCONTROL ay isang cyberweapon na partikular na idinisenyo upang i-target ang mga naka-embed na Linux-based na device sa IoT at OT environment. Ang malware ay maraming nalalaman at maaaring i-customize para sa iba't ibang device, kabilang ang:

• Mga IP Camera
• Mga router
• Mga Sistema ng SCADA
• Mga PLC (Programmable Logic Controllers)
• Mga HMI (Human-Machine Interface)
• Mga firewall

Kabilang sa mga kilalang vendor na apektado ang Baicells, D-Link, Hikvision, Phoenix Contact, Teltonika, at Unitronics, bukod sa iba pa. Ang malawak na pag-target na ito ay nagmumungkahi na ang malware ay maaaring magsamantala ng maraming uri ng mga device na mahalaga sa pang-industriya at pagpapatakbo ng mga network.

Nakikipag-ugnayan ang IOCONTROL sa mga operator nito sa pamamagitan ng MQTT protocol, isang magaan na pamantayan ng komunikasyon ng machine-to-machine. Nagbibigay-daan ito sa mga umaatake na magsagawa ng di-makatwirang code, magsagawa ng mga pag-scan sa port, at magkalat ng malware sa gilid sa mga network, na magkaroon ng mas malalim na kontrol sa mga nakompromisong system.

Kamakailang High-Profile na Pag-atake

Naganap ang isa sa mga pinakanakaaalarma na kampanya noong Oktubre 2023, nang i-claim ng CyberAv3ngers na naabala nila ang 200 gas pump sa Israel. Sinamantala ng pag-atake ang mga device na naka-link sa Orpak Systems, isang kumpanyang nagbibigay ng mga solusyon sa pamamahala ng gas station.

Ang pagsusuri ni Claroty sa IOCONTROL ay nagsiwalat ng isang sample na nakuha mula sa isang Gasboy fuel control system—malapit na nauugnay sa Orpak—na nagsasaad na ang grupo ay posibleng muling ilunsad ang kampanya nito noong kalagitnaan ng 2024. Sa kabila ng patuloy na pagsisiyasat, nananatiling hindi malinaw kung paano unang ipinamahagi ang malware.

Ang Mas Malawak na Implikasyon

Itinatampok ng mga pag-atake na nauugnay sa IOCONTROL ang pagtaas ng pagtuon sa kritikal na imprastraktura ng sibilyan bilang target para sa mga cyber campaign na inisponsor ng estado. Sa pamamagitan ng pagsasamantala sa mga kahinaan ng IoT at OT, ang mga pangkat tulad ng CyberAv3ngers ay maaaring magdulot ng malawakang pagkaantala, mula sa pagkagambala sa mga supply ng tubig hanggang sa pagpapahinto sa pamamahagi ng gasolina. Ang mga pagkilos na ito ay hindi lamang nagdudulot ng mga panganib sa kaligtasan ng publiko ngunit lumilikha din ng geopolitical tensyon.

Bilang tugon, nag-alok ang gobyerno ng US ng reward na hanggang $10 milyon para sa impormasyong humahantong sa pagkakakilanlan o pag-aresto sa mga indibidwal na nauugnay sa CyberAv3ngers. Binibigyang-diin nito ang kabigatan ng mga banta sa cyber na ito at ang agarang pangangailangan para sa mas malakas na depensa laban sa kanila.

Pagprotekta Laban sa IOCONTROL at Mga Katulad na Banta

Dapat gawin ng mga organisasyong namamahala sa IoT at OT device ang mga sumusunod na hakbang para mabawasan ang mga panganib:

1. Baguhin ang Mga Default na Kredensyal: Maraming pag-atake ang nagtagumpay dahil sa mahina, factory-default na password. Ipatupad kaagad ang malakas na mga patakaran sa password.
2. Network Segmentation: Ihiwalay ang mga ICS at OT device mula sa mga network na nakaharap sa internet upang limitahan ang mga potensyal na access point para sa mga umaatake.
3. Mga Regular na Update at Patching: Tiyaking pinapagana ng lahat ng device ang pinakabagong firmware at mga update sa seguridad.
4. Monitor para sa mga Anomalya: I-deploy ang mga intrusion detection system upang matukoy ang hindi pangkaraniwang aktibidad, gaya ng mga port scan o hindi awtorisadong mga pagtatangka sa pag-access.
5. Limitahan ang Malayong Pag-access: Limitahan ang pag-access sa mga ICS at OT na device, na nagpapahintulot lamang sa mga koneksyon mula sa mga pinagkakatiwalaang IP address.

Mga Pangwakas na Salita

Ang IOCONTROL malware campaign ay isang malinaw na paalala ng mga kahinaang likas sa IoT at OT system. Habang ang mga grupong itinataguyod ng estado tulad ng CyberAv3ngers ay lalong nagta-target ng mga kritikal na imprastraktura, ang mga organisasyon ay dapat magpatibay ng mga proactive na hakbang sa cybersecurity upang ipagtanggol laban sa mga umuusbong na banta na ito. Sa pamamagitan ng pag-secure ng kanilang mga network, maiiwasan nila ang mga pag-atake na maaaring magkaroon ng mapangwasak na epekto sa kaligtasan ng publiko at mahahalagang serbisyo.