Novi Malver IOCONTROL Cilja Kritičnu Infrastrukturu
U posljednje vrijeme, američka i izraelska kritična infrastruktura postala su meta opasnog novog malvera, koji se čini da potječe iz Irana. Istraživači cyber sigurnosti iz tvrtke Claroty otkrili su primjerak malvera nazvanog IOCONTROL, dobivenog iz kompromitirane industrijske mreže, te su ga detaljno analizirali.
Podrijetlo i svrha malvera IOCONTROL
Za razvoj i implementaciju malvera IOCONTROL sumnja se da je odgovorna iranska državna skupina poznata kao CyberAv3ngers. Iako nije jasno kako su hakeri uspjeli inficirati svoje žrtve ovim malverom, čini se da su njihovi ciljevi uređaji Internet of Things (IoT) te OT/SCADA sustavi koji se koriste u kritičnim infrastrukturnim organizacijama u SAD-u i Izraelu.
Glavne mete napada
- Usmjerivači
- Programabilni logički upravljači (PLC)
- Sučelja čovjek-stroj (HMI)
- IP kamere
- Vatrozidi
- Sustavi upravljanja gorivom
Jedan od najvažnijih uređaja koji je bio ciljan bio je sustav za upravljanje gorivom Gasboy, a primjerak malvera je izvučen iz terminala za plaćanje (OrPT).
Modularne funkcije IOCONTROL-a
Prema informaciji iz Claroty, malver IOCONTROL je modularan i može se koristiti za ekstrakciju podataka, pa čak i za prekid usluga. Podržane naredbe uključuju:
- Ekstrakciju detaljnih informacija o sustavu
- Izvršavanje proizvoljnih OS naredbi
- Skeneriranje određenih IP adresa i portova za nove potencijalne mete
Malver je sposoban kontrolirati pumpe, terminale za plaćanje i druge periferalne uređaje, a može se instalirati na razne popularne uređaje poput D-Link, Hikvision, Baicells, Red Lion, Orpak, Phoenix Contact, Teltonika i Unitronics.
Opseg napada i aktivnost CyberAv3ngers
Iako točan broj žrtava nije poznat, CyberAv3ngers su na svom Telegram kanalu otkrili da su kompromitirali 200 benzinskih postaja u Izraelu i SAD-u. Claroty vjeruje da grupa ne pretjeruje o toj brojci. Većina napada dogodila se krajem 2023. godine, ali istraživači su primijetili nove kampanje sredinom 2024. godine.
Aktivnosti iranskih prijetnji u cyber prostoru
Iranske državne prijetnje su među najaktivnijima u globalnom cyber prostoru, fokusirajući se na aktivnosti poput špijunaže, sabotaže i dezinformacijskih kampanja. Neki od najistaknutijih grupa su APT33 (također poznat kao Refined Kitten), APT34 (OilRig/Helix Kitten), MuddyWater (Static Kitten/Seedworm) i Charming Kitten (APT35/Phosphorus).
Zaključak
Opasnost od malvera IOCONTROL predstavlja ozbiljnu prijetnju za kritičnu infrastrukturu, posebno u Sjedinjenim Američkim Državama i Izraelu. S obzirom na sve veći broj napada i sofisticiranost iranskih hakerskih grupa, važno je da organizacije ojačaju svoje cyber sigurnosne mjere i ostanu informirane o aktualnim prijetnjama.