ΑρχικήSecurityΤο IOCONTROL malware στοχεύει κρίσιμες υποδομές σε ΗΠΑ και Ισραήλ

Το IOCONTROL malware στοχεύει κρίσιμες υποδομές σε ΗΠΑ και Ισραήλ

Ιρανοί hackers χρησιμοποιούν ένα νέο malware, το IOCONTROL, για να παραβιάσουν συσκευές Internet of Things (IoT) και συστήματα OT/SCADA, που χρησιμοποιούνται σε κρίσιμες υποδομές στο Ισραήλ και τις Ηνωμένες Πολιτείες.

IOCONTROL malware κρίσιμες υποδομές

Οι στοχευμένες συσκευές περιλαμβάνουν routers, programmable logic controllers (PLCs), διεπαφές ανθρώπου-μηχανής (HMI), κάμερες IP, τείχη προστασίας και συστήματα διαχείρισης καυσίμων.

Advertisement

Η modular φύση του IOCONTROL malware του επιτρέπει να παραβιάζει ένα ευρύ φάσμα συσκευών από διάφορους κατασκευαστές, συμπεριλαμβανομένων των D-Link, Hikvision, Baicells, Red Lion, Orpak, Phoenix Contact, Teltonika και Unitronics.

Οι ερευνητές του Claroty’s Team82, οι οποίοι ανακάλυψαν και εξέτασαν δείγμα του IOCONTROL, αναφέρουν ότι πρόκειται για ένα εργαλείο κρατικών Ιρανών hackers, που μπορεί να προκαλέσει σημαντικές διακοπές σε κρίσιμες υποδομές.

Το Hubble βρήκε νεογέννητα αστέρια στο νεφέλωμα του Ωρίωνα

SecNewsTV 8 hours ago

Δεδομένων των συνεχιζόμενων γεωπολιτικών συγκρούσεων, το IOCONTROL χρησιμοποιείται για να στοχεύσει το Ισραήλ και συστήματα των ΗΠΑ, όπως τα συστήματα διαχείρισης καυσίμων Orpak και Gasboy.

Το εργαλείο φέρεται να συνδέεται με τους Ιρανούς hackers CyberAv3ngers, που έχουν επιτεθεί σε βιομηχανικά συστήματα και στο παρελθόν.

Το IOCONTROL malware στοχεύει κρίσιμες υποδομές

Η Claroty εξήγαγε δείγματα του κακόβουλου λογισμικού από ένα σύστημα ελέγχου Gasboy, αλλά οι ερευνητές δεν γνωρίζουν ακριβώς πώς οι hackers το μόλυναν με το IOCONTROL.

Μέσα σε αυτές τις συσκευές, το IOCONTROL θα μπορούσε να ελέγχει αντλίες, τερματικά πληρωμών και άλλα περιφερειακά συστήματα, προκαλώντας ενδεχομένως διακοπή λειτουργίας ή κλοπή δεδομένων.

Οι επιτιθέμενοι ισχυρίστηκαν, στο Telegram, ότι παραβίασαν 200 βενζινάδικα στο Ισραήλ και τις ΗΠΑ, κάτι που ευθυγραμμίζεται με τα ευρήματα της Claroty.

Αυτές οι επιθέσεις σημειώθηκαν στα τέλη του 2023, αλλά οι ερευνητές αναφέρουν ότι νέες εκστρατείες εμφανίστηκαν στα μέσα του 2024.

Από τις 10 Δεκεμβρίου 2024, το UPX-packed malware binary δεν εντοπίζεται από καμία από τις 66 μηχανές προστασίας από ιούς του VirusTotal.

Χαρακτηριστικά του IOCONTROL malware

Το κακόβουλο λογισμικό, το οποίο είναι αποθηκευμένο στον κατάλογο ‘/usr/bin/’ με το όνομα ‘iocontrol’., χρησιμοποιεί ένα modular configuration για να προσαρμόζεται σε διαφορετικούς προμηθευτές και τύπους συσκευών.

Οι ερευνητές παρατήρησαν ότι χρησιμοποιεί ένα persistence script (‘S93InitSystemd.sh’) για την εκτέλεση του malware process (‘iocontrol’) κατά την εκκίνηση του συστήματος. Αυτό σημαίνει ότι η επανεκκίνηση της συσκευής δεν το απενεργοποιεί.

Επίσης, χρησιμοποιεί το πρωτόκολλο MQTT μέσω της θύρας 8883 για να επικοινωνεί με τον διακομιστή εντολών και ελέγχου (C2), που είναι ένα τυπικό κανάλι και πρωτόκολλο για συσκευές IoT. Τα μοναδικά device IDs είναι ενσωματωμένα στα διαπιστευτήρια MQTT για καλύτερο έλεγχο.

Ποιες εντολές υποστηρίζει το IOCONTROL malware:

  • Send “hello”: Αναφέρει λεπτομερείς πληροφορίες συστήματος στο C2.
  • Check exec: Επιβεβαιώνει ότι το malware binary είναι σωστά εγκατεστημένο και μπορεί να εκτελεστεί.
  • Execute command: Εκτελεί αυθαίρετες εντολές του λειτουργικού συστήματος μέσω system calls.
  • Self-delete: Καταργεί τα δικά του binaries, scripts και logs για να αποφύγει τον εντοπισμό.
  • Port scan: Σαρώνει καθορισμένες περιοχές IP και θύρες για να εντοπίσει άλλους πιθανούς στόχους.

Οι πλήρεις δείκτες παραβίασης (IoC) παρατίθενται στο κάτω μέρος της έκθεσης της Claroty.

Δεδομένου ότι το IOCONTROL malware στοχεύει κρίσιμες υποδομές, είναι απαραίτητη η λήψη μέτρων προστασίας.

Προστασία από malware

Οι μέθοδοι στατικής ανίχνευσης για ασφάλεια δεν είναι αρκετές για την αποφυγή malware. Μια πιο ισχυρή προσέγγιση θα πρέπει να ενσωματώνει λογισμικό προστασίας από ιούς, εξοπλισμένο με προηγμένες δυνατότητες ανάλυσης.

Η εκπαίδευση στην ασφάλεια των πληροφοριών είναι επίσης ζωτικής σημασίας. Αυτό σημαίνει ότι πρέπει να γνωρίζετε πώς να αναγνωρίζετε και να αποφεύγετε τις επιθέσεις phishing, τις οποίες οι επιτιθέμενοι συχνά χρησιμοποιούν για να εγκαταστήσουν malware.

Επίσης, είναι σημαντικό να διατηρείτε το λειτουργικό σύστημα και τις εφαρμογές σας ενημερωμένες. Οι ενημερώσεις αυτές συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να προστατεύσουν τον υπολογιστή σας από τις πιο πρόσφατες απειλές.

Επίσης, μην ξεχνάτε τη χρήση firewalls και την παρακολούθηση του network traffic που θα σας βοηθήσει να εντοπίσετε άμεσα ύποπτη δραστηριότητα. Συνιστάται, ακόμα, στους χρήστες να αποφεύγουν εκτελέσιμα αρχεία που λαμβάνονται από περίεργους ιστότοπους.

Τέλος, η χρήση δυνατών κωδικών πρόσβασης και η ενεργοποίηση της διαδικασίας επαλήθευσης δύο παραγόντων μπορεί να προσφέρει επιπλέον επίπεδο προστασίας έναντι του malware. Αυτό μπορεί να δυσκολέψει τους επιτιθέμενους να αποκτήσουν πρόσβαση στον λογαριασμό σας, ακόμη και αν καταφέρουν να κλέψουν τον κωδικό πρόσβασής σας.

Πηγή: www.bleepingcomputer.com

Digital Fortress
Digital Fortresshttps://www.secnews.gr
Pursue Your Dreams & Live!
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS