Báo giá giảm giá nhiều giấy phép
Bảo mật máy tính Tin tặc Iran triển khai phần mềm độc hại IOCONTROL nhắm...

Tin tặc Iran triển khai phần mềm độc hại IOCONTROL nhắm vào các thiết bị IoT và OT tại Hoa Kỳ và Israel

Đến năm Mura năm Bảo mật máy tính
Dịch sang:
Tiếng Việt Nam

Một nhóm tin tặc khét tiếng của Iran, CyberAv3ngers, đã bị liên kết với một loạt các cuộc tấn công mạng nhắm vào các thiết bị IoT (Internet vạn vật) và OT (Công nghệ hoạt động) tại Hoa Kỳ và Israel. Phần mềm độc hại được xây dựng riêng đằng sau các cuộc tấn công này, được gọi là IOCONTROL, được thiết kế để xâm nhập vào cơ sở hạ tầng quan trọng, gây ra báo động trong số các chuyên gia an ninh mạng và chính phủ.

Các mối đe dọa do nhà nước bảo trợ đối với cơ sở hạ tầng quan trọng

CyberAv3ngers, tự nhận là một nhóm hacktivist, đã có liên hệ với Quân đoàn Vệ binh Cách mạng Hồi giáo Iran (IRGC). Nhóm này trước đây đã nhắm mục tiêu vào các hệ thống kiểm soát công nghiệp (ICS) tại các cơ sở cấp nước ở Ireland và Hoa Kỳ, gây ra sự gián đoạn đáng kể. Ví dụ, trong một cuộc tấn công năm 2023 vào một công ty cấp nước ở Pennsylvania, tin tặc đã khai thác ICS được bảo mật kém, dẫn đến hai ngày mất nguồn cung cấp nước.

Khía cạnh đáng lo ngại của các cuộc tấn công này là sự phụ thuộc của chúng vào các lỗ hổng cơ bản. Nhiều thiết bị ICS và OT bị lộ trên internet với mật khẩu mặc định, khiến chúng trở thành mục tiêu dễ dàng cho những kẻ tấn công mà không cần các kỹ thuật hack tiên tiến. Những lỗ hổng bảo mật này làm nổi bật những rủi ro đang diễn ra do cơ sở hạ tầng bảo vệ yếu kém.

Phần mềm độc hại IOCONTROL hoạt động như thế nào

Theo các nhà nghiên cứu tại Claroty, IOCONTROL là một vũ khí mạng được thiết kế đặc biệt để nhắm vào các thiết bị nhúng dựa trên Linux trong môi trường IoT và OT. Phần mềm độc hại này rất linh hoạt và có thể tùy chỉnh cho các thiết bị khác nhau, bao gồm:

  • Camera IP
  • Bộ định tuyến
  • Hệ thống SCADA
  • PLC (Bộ điều khiển logic lập trình)
  • HMI (Giao diện người-máy)
  • Tường lửa

Các nhà cung cấp đáng chú ý bị ảnh hưởng bao gồm Baicells, D-Link, Hikvision, Phoenix Contact, Teltonika và Unitronics, cùng nhiều nhà cung cấp khác. Việc nhắm mục tiêu rộng rãi này cho thấy phần mềm độc hại có thể khai thác nhiều loại thiết bị tích hợp vào mạng công nghiệp và mạng hoạt động.

IOCONTROL giao tiếp với các nhà điều hành của mình thông qua giao thức MQTT, một tiêu chuẩn giao tiếp máy-với-máy nhẹ. Điều này cho phép kẻ tấn công thực thi mã tùy ý, thực hiện quét cổng và phát tán phần mềm độc hại theo chiều ngang trên các mạng, kiểm soát sâu hơn các hệ thống bị xâm phạm.

Các cuộc tấn công cấp cao gần đây

Một trong những chiến dịch đáng báo động nhất xảy ra vào tháng 10 năm 2023, khi CyberAv3ngers tuyên bố đã phá hoại 200 máy bơm xăng ở Israel. Cuộc tấn công khai thác các thiết bị liên kết với Orpak Systems, một công ty cung cấp giải pháp quản lý trạm xăng.

Phân tích của Claroty về IOCONTROL cho thấy một mẫu thu được từ hệ thống kiểm soát nhiên liệu Gasboy - có liên quan chặt chẽ đến Orpak - cho thấy nhóm này có khả năng đã khởi động lại chiến dịch vào giữa năm 2024. Mặc dù các cuộc điều tra đang diễn ra, vẫn chưa rõ phần mềm độc hại ban đầu được phân phối như thế nào.

Những hàm ý rộng hơn

Các cuộc tấn công được cho là do IOCONTROL thực hiện làm nổi bật sự tập trung ngày càng tăng vào cơ sở hạ tầng quan trọng của dân sự như một mục tiêu cho các chiến dịch mạng do nhà nước tài trợ. Bằng cách khai thác các lỗ hổng IoT và OT, các nhóm như CyberAv3ngers có thể gây ra sự gián đoạn trên diện rộng, từ việc gián đoạn nguồn cung cấp nước đến việc dừng phân phối nhiên liệu. Những hành động này không chỉ gây ra rủi ro cho an toàn công cộng mà còn tạo ra căng thẳng địa chính trị.

Để đáp lại, chính phủ Hoa Kỳ đã treo giải thưởng lên đến 10 triệu đô la cho thông tin dẫn đến việc xác định hoặc bắt giữ những cá nhân có liên quan đến CyberAv3ngers. Điều này nhấn mạnh mức độ nghiêm trọng của các mối đe dọa mạng này và nhu cầu cấp thiết về các biện pháp phòng thủ mạnh mẽ hơn chống lại chúng.

Bảo vệ chống lại IOCONTROL và các mối đe dọa tương tự

Các tổ chức quản lý thiết bị IoT và OT nên thực hiện các bước sau để giảm thiểu rủi ro:

  1. Thay đổi thông tin xác thực mặc định: Nhiều cuộc tấn công thành công vì mật khẩu mặc định của nhà sản xuất yếu. Hãy triển khai chính sách mật khẩu mạnh ngay lập tức.
  2. Phân đoạn mạng: Cô lập các thiết bị ICS và OT khỏi các mạng kết nối internet để hạn chế các điểm truy cập tiềm ẩn cho kẻ tấn công.
  3. Cập nhật và vá lỗi thường xuyên: Đảm bảo tất cả các thiết bị đều chạy chương trình cơ sở và bản cập nhật bảo mật mới nhất.
  4. Giám sát các hoạt động bất thường: Triển khai hệ thống phát hiện xâm nhập để xác định hoạt động bất thường, chẳng hạn như quét cổng hoặc nỗ lực truy cập trái phép.
  5. Giới hạn quyền truy cập từ xa: Hạn chế quyền truy cập vào các thiết bị ICS và OT, chỉ cho phép kết nối từ các địa chỉ IP đáng tin cậy.

Lời cuối cùng

Chiến dịch phần mềm độc hại IOCONTROL là lời nhắc nhở nghiêm khắc về các lỗ hổng vốn có trong các hệ thống IoT và OT. Khi các nhóm do nhà nước tài trợ như CyberAv3ngers ngày càng nhắm mục tiêu vào cơ sở hạ tầng quan trọng, các tổ chức phải áp dụng các biện pháp an ninh mạng chủ động để bảo vệ chống lại các mối đe dọa đang phát triển này. Bằng cách bảo vệ mạng lưới của mình, họ có thể ngăn chặn các cuộc tấn công có thể gây ra tác động tàn phá đến an toàn công cộng và các dịch vụ thiết yếu.

Đang tải...