Знижка на кілька ліцензій
Комп'ютерна безпека Іранські хакери розгортають зловмисне програмне...

Іранські хакери розгортають зловмисне програмне забезпечення IOCONTROL для IoT та OT пристроїв у США та Ізраїлі

До Mura року в Комп'ютерна безпека році
Перекласти на:
Українська

Сумнозвісна іранська хакерська група CyberAv3ngers була пов’язана з серією кібератак, націлених на пристрої IoT (Інтернет речей) і OT (Operational Technology) у Сполучених Штатах та Ізраїлі. Спеціально створене шкідливе програмне забезпечення, що стоїть за цими атаками, під назвою IOCONTROL, призначене для проникнення в критичну інфраструктуру, викликаючи тривогу серед експертів з кібербезпеки та урядів.

Спонсоровані державою загрози для критичної інфраструктури

CyberAv3ngers, яка стверджує, що є хактивістською групою, була пов’язана з Корпусом вартових ісламської революції Ірану (IRGC). Раніше група націлилася на промислові системи управління (ICS) на водопровідних об’єктах в Ірландії та Сполучених Штатах, викликаючи значні збої. Наприклад, під час однієї атаки 2023 року на водопровідну компанію в Пенсільванії хакери скористалися погано захищеною ICS, що призвело до двох днів перебоїв з водопостачанням.

Цікавим аспектом цих атак є їхня опора на базові вразливості. Багато пристроїв ICS і OT залишаються відкритими для Інтернету з паролями за замовчуванням, що робить їх легкою мішенню для зловмисників без потреби передових методів злому. Ці прогалини в безпеці підкреслюють постійні ризики, пов’язані зі слабким захистом інфраструктури.

Як працює зловмисне програмне забезпечення IOCONTROL

За словами дослідників з Claroty, IOCONTROL — це кіберзброя, спеціально розроблена для націлювання на вбудовані пристрої на базі Linux у середовищах IoT та OT. Зловмисне програмне забезпечення є універсальним і може бути налаштовано для різних пристроїв, зокрема:

  • IP-камери
  • Маршрутизатори
  • Системи SCADA
  • ПЛК (програмовані логічні контролери)
  • HMI (інтерфейси людина-машина)
  • Брандмауери

Відомі постачальники, які постраждали, включають Baicells, D-Link, Hikvision, Phoenix Contact, Teltonika та Unitronics, серед інших. Це широке націлювання свідчить про те, що зловмисне програмне забезпечення може використовувати кілька типів пристроїв, інтегрованих у промислові та операційні мережі.

IOCONTROL спілкується зі своїми операторами за допомогою протоколу MQTT, полегшеного міжмашинного стандарту зв’язку. Це дозволяє зловмисникам виконувати довільний код, виконувати сканування портів і поширювати зловмисне програмне забезпечення через мережі, отримуючи глибший контроль над скомпрометованими системами.

Останні резонансні атаки

Одна з найбільш тривожних кампаній відбулася в жовтні 2023 року, коли CyberAv3ngers стверджували, що вивели з ладу 200 газових насосів в Ізраїлі. Атака використовувала пристрої, пов’язані з Orpak Systems, компанією, яка надає рішення для управління АЗС.

Аналіз IOCONTROL, проведений Claroty, виявив зразок, отриманий із системи контролю палива Gasboy, тісно пов’язаної з Orpak, що вказує на те, що група потенційно перезапустила свою кампанію в середині 2024 року. Незважаючи на триваючі розслідування, залишається незрозумілим, як зловмисне програмне забезпечення було спочатку поширене.

Більш широкі наслідки

Атаки, приписувані IOCONTROL, підкреслюють збільшення уваги до цивільної критичної інфраструктури як мішені для спонсорованих державою кіберкампаній. Використовуючи вразливості IoT та OT, такі групи, як CyberAv3ngers, можуть спричинити масштабні збої, від переривання водопостачання до припинення розподілу палива. Ці дії не лише становлять загрозу громадській безпеці, а й створюють геополітичну напругу.

У відповідь уряд США запропонував винагороду в розмірі до 10 мільйонів доларів США за інформацію, яка допоможе ідентифікувати або арештувати осіб, пов’язаних з CyberAv3ngers. Це підкреслює серйозність цих кіберзагроз і нагальну потребу в посиленні захисту від них.

Захист від IOCONTROL та подібних загроз

Організації, які керують пристроями IoT та OT, повинні вжити таких заходів для зменшення ризиків:

  1. Змінити облікові дані за замовчуванням: багато атак вдаються через слабкі заводські паролі. Негайно запровадьте політику надійних паролів.
  2. Сегментація мережі: ізолюйте пристрої ICS і OT від мереж, що виходять в Інтернет, щоб обмежити потенційні точки доступу для зловмисників.
  3. Регулярні оновлення та виправлення: переконайтеся, що на всіх пристроях встановлено найновіші оновлення прошивки та безпеки.
  4. Моніторинг аномалій: розгортайте системи виявлення вторгнень для виявлення незвичних дій, таких як сканування портів або спроби несанкціонованого доступу.
  5. Обмеження віддаленого доступу: обмежте доступ до пристроїв ICS і OT, дозволяючи підключення лише з надійних IP-адрес.

Заключні слова

Кампанія шкідливих програм IOCONTROL є яскравим нагадуванням про вразливості, притаманні системам IoT та OT. Оскільки спонсоровані державою групи, як-от CyberAv3ngers, все частіше націлюються на критичну інфраструктуру, організації повинні вживати проактивних заходів кібербезпеки для захисту від цих загроз, що розвиваються. Захищаючи свої мережі, вони можуть запобігти атакам, які можуть мати руйнівний вплив на громадську безпеку та основні послуги.

Завантаження...