IOControl cilja IoT/OT platforme

Sigurnosni istraživači ogranka Team82 kompanije Claroty otkrili su prilagođeni zlonamjerni softver interneta stvari (eng. internet of things – IoT) i operativne tehnologije (eng. operational technology – OT) pod nazivom IOControl. U nastavku će biti riječi o mogućnostima zlonamjernog softvera IOControl, njegovim jedinstvenim komunikacionim kanalima sa infrastrukturom za komandu i kontrolu (C2) i metodama koje koriste zlonamjerni akteri za održavanje postojanosti.

IOControl

IOControl cilja IoT/OT platforme; Source: Bing Image Creator

IOCONTROL

IOControl zlonamjerni softver je sofisticirano sajber oružje koje nacionalno sponzorisani zlonamjerni akter koristi za napad na civilnu kritičnu infrastrukturu. Zlonamjerni softver povezan je sa Iranom i korišćen je za napad na kritičnu infrastrukturu interneta stvari (IoT) i operativnih tehnologija (OT) u Izraelu i Sjedinjenim Američkim Državama.

Zlonamjerni softver cilja različite tipove uređaja kao što su IP kamere, ruteri, programabilni logički kontroleri (eng. programmable logic controllers – PLC), ljudsko-mašinska okruženja (eng. human-machine interfaces – HMI), zaštitni zidovi i drugi slični uređaji proizvođača kao što su Baicells, D-Link, Hikvision, Red Lion, Orpak, Phoenix Contact, Teltonika, Unitronics, između ostalih.

 

Funkcionisanje

IOControl zlonamjerni softver radi na generičkom okviru interneta stvari (IoT) i operativnih tehnologija (OT) za ugrađene uređaje zasnovane na Linux operativnom sistemu koji se po potrebi mogu prilagoditi specifičnim ciljevima. Sigurnosni istraživači su dobili i analizirali uzorak ovog zlonamjernog softvera. Njihova analiza uključuje dubinski pogled na jedinstvene komunikacione kanale IOControl zlonamjernog softvera sa C2 infrastrukturom zlonamjernog aktera, pružajući vrijedan uvid u njegov rad i potencijalne mete.

 

Komunikacioni kanali

IOControl zlonamjerni softver prvenstveno komunicira preko bezbjednog telemetrijskog transport za čekanje poruka (eng. Message Queuing Telemetry Transport – MQTT) kanala, koji je protokol za razmjenu poruka otvorenog kôda koji se obično koristi u aplikacijama interneta stvari (IoT). Zlonamjerni softver koristi ovaj metod komunikacije da šalje podatke nazad na svoje C2 servere i prima komande od zlonamjernog aktera. Da bi izbjegao otkrivanje, IOControl koristi različite tehnike kao što je korištenje prilagođenih tema telemetrijskog transport za čekanje poruka (MQTT), šifrovane komunikacije i DNS preko HTTPS (eng. DNS over HTTPS – DoH) za sakrivanje svoje C2 infrastrukture.

 

Šifrovanje

Malver koristi AES-256 enkripciju da zaštiti osjetljive podatke koji se prenose između kompromitovanih uređaja i servera zlonamjernog aktera. Međutim, izgleda da je došlo do greške od strane zlonamjernog aktera u vezi sa veličinom ključa za AES-256. Koristili su niz od 64 heksadecimala umjesto tačne veličine od 32 bajta, koja koristi samo prva 32 bajta tokom procesa šifrovanja i dešifrovanja. Vektor inicijalizacije koji se koristi za šifrovanje je izveden iz ovog heša, ali je i on duži nego što je potrebno, sa samo početnih 16 bajtova koji se koriste.

 

Jedinstveni identifikatori

Jedna od jedinstvenih karakteristika IOControl zlonamjernog softvera je upotreba globalno jedinstvenih identifikatora (eng. Globally Unique Identifiers – GUID), koji se ubacuju u uzorke zlonamjernog softvera putem binarne ispravke da bi se razlikovale različite žrtve ili kampanje. Ovi globalno jedinstveni identifikatori (GUID) služe kao sjeme za izvođenje različitih parametara unutar zlonamjernog softvera, olakšavajući zlonamjernim akterima da ih modifikuju bez ponovnog kompajliranja cijele baze kôdova zlonamjernog softvera. Pored toga, IOControl zlonamjerni softver koristi identifikatore dobavljača interneta stvari (IoT) za ciljanje određenih uređaja pogođenih dobavljača kao što su Baicells, D-Link, Hikvision, Red Lion, Orpak, Phoenix Contact, Teltonika, Unitronics i drugi.

 

Mehanizmi postojanosti

IOControl zlonamjerni softver koristi mehanizme postojanosti instalacijom daemon servisa na kompromitovanim sistemima da bi održao pristup čak i nakon ponovnog pokretanja ili drugih promjena sistema. Ovo osigurava da zlonamjerni softver može da nastavi da komunicira sa svojom C2 infrastrukturom i izvršava uputstva od zlonamjernog aktera po potrebi. Tačan metod koji se koristi za ovaj mehanizam postojanosti nije javno poznat, ali vjerovatno uključuje modifikaciju skripti za pokretanje sistema ili instaliranje usluge na pogođenom uređaju.

 

Bočno kretanje

Jednom kada IOControl zlonamjerni softver dobije pristup mreži interneta stvari (IoT) i operativnih tehnologija (OT), potencijalno može da se kreće bočno (eng. lateral movement) preko drugih uređaja unutar te mreže koristeći različite tehnike kao što je iskorišćavanje ranjivosti u povezanim sistemima ili korišćenje slabih lozinki u svrhu autentifikacije. Ovo omogućava zlonamjernim akterima da prošire svoje uporište u ciljanoj infrastrukturi i izvedu opsežnije napade ako žele.

 

Uticaj na kritičnu infrastrukturu

IOControl zlonamjerni softver je ocijenjen kao sajber oružje koje nacionalno sponzorisani zlonamjerni akter koristi za napad na civilnu kritičnu infrastrukturu. Ciljajući različite tipove uređaja interneta stvari (IoT) i operativnih tehnologija (OT), zlonamjerni softver može potencijalno da poremeti osnovne usluge kao što su električne mreže, postrojenja za prečišćavanje vode, transportni sistemi i komunikacione mreže. Takvi poremećaji mogu imati ozbiljne posljedice i po ekonomsku stabilnost i javnu bezbjednost u pogođenim regionima.

Na primjer, kompromitujući programabilne logičke kontrolere (PLC) ili ljudsko-mašinska okruženja (HMI) koji kontrolišu industrijske procese može dovesti do nenamjernih promjena u proizvodnim parametrima, uzrokujući defekte proizvoda ili čak katastrofalne kvarove. Slično tome, ometanje komunikacionih mreža može ometati napore za reagovanje u vanrednim situacijama tokom kritičnih situacija kao što su prirodne katastrofe ili teroristički napadi.

 

Napad i kompromitovanje

Koordinisani napadi koje su pokrenuli CyberAv3ngers – nacionalno sponzorisani zlonamjerni akter od strane Irana na kritične infrastrukturne objekte u Izraelu i Sjedinjenim Američkim Državama izvedeni su sa preciznošću i zlonamjernom namjerom. U ovom slučaju, na meti su bili objekti za vodu u Izraelu, a programabilni logički kontroleri (PLC) i ljudsko-mašinska okruženja (HMI) serije Integrated Unitronics Vision u okviru ovih zemalja postali su primarni fokus njihovih napada. Oštećenje ovih uređaja operativnih tehnologija (OT) bio je namjeran čin koji je imao za cilj da unese strah među stanovništvo u pogledu kvaliteta vode u pogođenim područjima. Ova taktika se može posmatrati kao demonstracija moći od strane CyberAv3ngers grupe zlonamjernih aktera, demonstrirajući ne samo njihov pristup kritičnim sistemima već i njihovu sposobnost da relativno lako ometaju osnovne usluge.

Vreme i priroda ovih napada na vodene objekte bili su zapanjujuće slični onima koji su pokrenuti na 200 benzinskih pumpi u Izraelu i Sjedinjenim Američkim Državama, posebno ciljajući Orpak uređaje za upravljanje gorivom. Kompromitovanjem ovih ključnih komponenti, zlonamjerni akteri su dobili neovlašteni pristup osjetljivim podacima unutar glavnih portala za upravljanje pogođenim benzinskima stanicama. Takođe su dobili baze podataka koje sadrže informacije o njihovim metama, kao i povjerljive podatke koji bi potencijalno mogli da se koriste u zle svrhe.

Napad CyberAv3ngers grupe zlonamjernih aktera na Orpak uređaje za upravljanje gorivom nije bio ograničen na puko oštećenje ili krađu podataka; takođe su zarazili Gasboy OrPT terminal za plaćanje u okviru sistema kontrole goriva. Ovaj upad je omogućio zlonamjernim akterima da ukradu informacije o kreditnim karticama i ometaju usluge snabdijevanja gorivom, uzrokujući široko rasprostranjeni haos i finansijski gubitak i za potrošače i za preduzeća.

Akcije CyberAv3ngers grupe zlonamjernih aktera nisu bile samo demonstracija njihove tehničke sposobnosti, već i potvrđivanje moći nad kritičnim infrastrukturnim sistemima koji su od suštinskog značaja za funkcionisanje modernog društva. Ciljajući ove objekte, oni su imali za cilj da unesu strah u srca onih koji se na njih oslanjaju i poremete usluge od kojih svakodnevno zavise milioni.

 

CyberAv3ngers

CyberAv3ngers je grupa zlonamjernih aktera sponzorisana od strane Irana, poznata još pod imenima OilRig, APT34, HELIX KITTEN, Magic Hound i Cobalt Gypsy. Ovaj zlonamjerni akter sprovodi svoje zlonamjerne akcije u globalnom sajber prostoru od 2020. godine, sa primarnom misijom da sije razdor i stvori atmosferu povećanog rizika od naizgled nesofisticiranih napada.

CyberAv3ngers grupa zlonamjernih aktera rade pod okriljem Islamske revolucionarne garde (eng. Islamic Revolutionary Guard Corps – IRGC), ogranka iranske vojske odgovorne za zaštitu islamskog sistema zemlje. Poznato je da grupa koristi različite taktike, tehnike i procedure u svojim sajber operacijama, često ciljajući kritičnu infrastrukturu kao što su stanice za prečišćavanje vode, energetski objekti i transportni sistemi.

Njihov način rada uključuje korištenje platformi društvenih medija kao što su Telegram i Twitter (X) za objavljivanje prijetnji i dijeljenje datoteka za koje tvrde da su eksfiltrirani iz ciljanih sistema. Ovi postovi su dizajnirani da stvore strah i neizvesnost, često praćeni tvrdnjama o neizbježnim sajber napadima na određenu infrastrukturu u Izraelu ili drugim zemljama.

Zlonamjerni akteri su pokazali posebno interesovanje za ciljanje programabilnih logičkih kontrolera (PLC), koji se obično koriste u sektoru vodovoda i otpadnih voda. Ovi programabilni logički kontroleri (PLC), koji se često rebrendiraju da izgledaju kao da potiču od različitih proizvođača ili kompanija, igraju ključnu ulogu u različitim industrijama osim sistema vode, uključujući energiju, proizvodnju hrane i pića, transportne sisteme i zdravstvenu zaštitu.

Uticaj napada kompanije CyberAv3ngers grupe zlonamjernih aktera može da varira od ometanja osnovnih usluga kao što je snabdijevanje vodom do izazivanja značajnih finansijskih gubitaka za preduzeća koja se oslanjaju na ove sisteme. Poznato je da grupa prijeti uništenjem industrijske opreme kao što su sistemi nadzorne kontrole i prikupljanja podataka (eng. supervisory control and data acquisition – SCADA), programabilni logički kontroleri (PLC) i ljudsko-mašinska okruženja (HMI), što bi moglo dovesti do katastrofalnih posljedica ako se uspješno izvrši.

Grupa je takođe poznata po tome što koristi obavještajne podatke otvorenog kôda (eng. open-source intelligence – OSINT) za prikupljanje informacija o svojim metama prije nego što pokrene napad. Ovo prikupljanje podataka pomaže im da efikasno prilagode svoje napade, povećavajući šanse za uspeh i smanjujući mogućnost otkrivanja.

 

ZAKLJUČAK

IOControl zlonamjerni softver predstavlja ozbiljnu prijetnju kritičnoj infrastrukturi širom sveta, posebno u sektorima interneta stvari (IoT) i operativnih tehnologija (OT). Njegova sposobnost da cilja različite tipove uređaja čini ga svestranim alatom za nacionalno sponzorisane zlonamjerne aktere koji žele da izazovu poremećaj ili ukradu osjetljive podatke iz civilne kritične infrastrukture. Da bi se zaštitile od takvih prijetnji, organizacije moraju da daju prioritet mjerama sajber bezbjednosti, uključujući redovna ažuriranja i ispravke za svoje uređaje, jake lozinke i segmentaciju mreže. Pored toga, mreže za praćenje neobičnih aktivnosti i implementacija sistema za otkrivanje upada mogu pomoći da se brzo identifikuju i reaguju na IOControl infekcije.

Ovakvi postupci zlonamjernih aktera služe kao dobar podsjetnik na ranjivosti svojstvene međusobno povezanom digitalnom svijetu. Kako se sve više sistema oslanja na digitalnu infrastrukturu, ključno je da se uvedu adekvatne mjere bezbjednosti za zaštitu od takvih prijetnji. Neuspjeh u tome može rezultirati katastrofalnim posljedicama i za pojedince i za narode.

Kako okruženje prijetnji nastavlja da se razvija, ključno je da organizacije ostanu oprezne i da u skladu sa tim prilagode svoju odbranu. Razumijevanje funkcionalnosti ovog sofisticiranog alata će pomoći braniocima da se bolje pripreme za buduće napade nacionalno sponzorisanih zlonamjernih aktera koji ciljaju uređaje interneta stvari (IoT) i operativnih tehnologija (OT).

 

ZAŠTITA

Kako bi se efikasno zaštitili svoju kritičnu infrastrukturu od IOControl zlonamjernog softvera i sličnih prijetnji, organizacije uz pomoć države moraju primijetiti višeslojnu strategiju odbrane koja obuhvata različite aspekte sajber bezbjednosti:

  1. Uključite IOControl taktike, tehnike, procedure i indikatore kompromisa (eng. indicators of compromise – IOC) u sisteme za bezbjednost informacije i upravljanje događajima (eng. Security information and event management – SIEM), platforme za bezbjednosnu orkestraciju, automatizaciju i reagovanje (eng. security orchestration, automation, and response – SOAR) i izvore prijetnji. Ovo će pomoći u ranom otkrivanju i reagovanju na IOControl aktivnosti;
  2. Podijeliti mrežu na manje segmente da bi se ograničilo širenje zlonamjernog softvera kao što je IOControl. Izolovati kritične infrastrukturne uređaje kao što su programabilni logički kontroleri (PLC), ljudsko-mašinska okruženja (HMI), ruteri i zaštitni zidovi u odvojenim mrežama sa strogom kontrolom pristupa;
  3. Redovno ažurirati sve interneta stvari (IoT) uređaje, upravljači softver (eng. firmware) i softver koji rade na kritičnim infrastrukturnim sistemima kako bi se zaštitili od poznatih ranjivosti koje bi IOControl mogao da iskoristi;
  4. Implementirati sisteme za otkrivanje upada (eng. intrusion detection systems – IDS) i sisteme za sprečavanje upada (eng. Intrusion Prevention Systems – IPS) sposobne da otkriju anomalne obrasce mrežnog saobraćaja povezane sa IOControl zlonamjernim softverom, kao što su nepoznati binarne datoteke i skripte, sumnjivi domeni i portovi, skriveni mehanizmi postojanosti i komande za izviđanje sistema;
  5. Implementirati robusne mehanizme evidentiranja i nadgledanja da bi se pratile sve aktivnosti na kritičnim infrastrukturnim uređajima. Redovno pregledati evidencije u potrazi za znakovima aktivnosti IOControl zlonamjernog softvera;
  6. Primijeniti softvere za detekciju i odgovor na prijetnje (eng. Endpoint detection and response – EDR) koja mogu da otkriju, istraže i reaguju na napredne prijetnje kao što je IOControl u realnom vremenu ili skoro u realnom vremenu;
  7. Analiza mrežnog saobraćaja: Implementirati alate za analizu mrežnog saobraćaja za nadzor šifrovanog MQTT saobraćaj preko TLS protokola, jer je ovo uobičajena metoda koju koristi IOControl za komandnu i kontrolnu komunikaciju;
  8. Redovno obučavati osoblje o prepoznavanju phishing poruka elektronske pošte, taktikama društvenog inženjeringa i bezbjednim internet praksama da da bi se spriječila slučajna preuzimanja ili instaliranje zlonamjernog softvera kao što je IOControl;
  9. Preporučljivo je sarađivati sa drugim organizacijama u istoj industriji kako bi se podpodjeli obavještajni podatke o IOControl zlonamjernom softveru i sličnim prijetnjama, pomažući da se poboljša ukupni položaj sajber bezbjednosti protiv ovih vrsta napada.
  10. Razviti plan odgovora na sajber prijetnju koji navodi korake koje treba preduzeti kada se otkrije potencijalna prijetnja ili ugrožavanje. Ovo bi trebalo da uključuje procedure za zadržavanje, iskorjenjivanje, oporavak i analizu nakon incidenta. Ovaj plan je potrebno redovno testirati putem stonih vježbi ili simuliranih napada kako bi se osiguralo da je efikasan i da je svo relevantno osoblje upoznato sa svojim ulogama i odgovornostima u slučaju ugrožavanja organizacije.

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.