{"id":7566,"date":"2025-01-07T00:56:23","date_gmt":"2025-01-06T23:56:23","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=7566"},"modified":"2025-01-07T00:56:23","modified_gmt":"2025-01-06T23:56:23","slug":"iocontrol-cilja-iot-ot-platforme","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2025\/01\/07\/iocontrol-cilja-iot-ot-platforme\/","title":{"rendered":"IOControl cilja IoT\/OT platforme"},"content":{"rendered":"<p><span style=\"font-size: 14pt;\">Sigurnosni istra\u017eiva\u010di ogranka <em>Team82<\/em> kompanije <em>Claroty<\/em> <a href=\"https:\/\/claroty.com\/team82\/research\/inside-a-new-ot-iot-cyber-weapon-iocontrol\" target=\"_blank\" rel=\"noopener\">otkrili<\/a> su prilago\u0111eni <a href=\"https:\/\/sajberinfo.com\/en\/2021\/09\/26\/malware\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjerni softver<\/a> interneta stvari (eng. <em>internet of things \u2013 IoT<\/em>) i operativne tehnologije (eng. <em>operational technology \u2013 OT<\/em>) pod nazivom <em>IOControl<\/em>. U nastavku \u0107e biti rije\u010di o mogu\u0107nostima zlonamjernog softvera <em>IOControl<\/em>, njegovim jedinstvenim komunikacionim kanalima sa infrastrukturom za komandu i kontrolu (<em>C2<\/em>) i metodama koje koriste <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/19\/hakeri-crni-sesiri-epizoda-3\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjerni akteri<\/a> za odr\u017eavanje postojanosti.<\/span><\/p>\n<div id=\"attachment_7567\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-7567\" class=\"size-full wp-image-7567\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/01\/IOControl-Malware.jpg\" alt=\"IOControl\" width=\"1024\" height=\"1024\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/01\/IOControl-Malware.jpg 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/01\/IOControl-Malware-300x300.jpg 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/01\/IOControl-Malware-150x150.jpg 150w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/01\/IOControl-Malware-768x768.jpg 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/01\/IOControl-Malware-12x12.jpg 12w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/01\/IOControl-Malware-80x80.jpg 80w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/01\/IOControl-Malware-320x320.jpg 320w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-7567\" class=\"wp-caption-text\"><em>IOControl cilja IoT\/OT platforme; Source: Bing Image Creator<\/em><\/p><\/div>\n\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_84 counter-hierarchy ez-toc-counter ez-toc-custom ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Sadr\u017eaj<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #ffffff;color:#ffffff\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewbox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #ffffff;color:#ffffff\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewbox=\"0 0 24 24\" version=\"1.2\" baseprofile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/sajberinfo.com\/en\/2025\/01\/07\/iocontrol-cilja-iot-ot-platforme\/#IOCONTROL\" >IOCONTROL<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/sajberinfo.com\/en\/2025\/01\/07\/iocontrol-cilja-iot-ot-platforme\/#Funkcionisanje\" >Funkcionisanje<\/a><ul class='ez-toc-list-level-4' ><li class='ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/sajberinfo.com\/en\/2025\/01\/07\/iocontrol-cilja-iot-ot-platforme\/#Komunikacioni_kanali\" >Komunikacioni kanali<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/sajberinfo.com\/en\/2025\/01\/07\/iocontrol-cilja-iot-ot-platforme\/#Sifrovanje\" >\u0160ifrovanje<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/sajberinfo.com\/en\/2025\/01\/07\/iocontrol-cilja-iot-ot-platforme\/#Jedinstveni_identifikatori\" >Jedinstveni identifikatori<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/sajberinfo.com\/en\/2025\/01\/07\/iocontrol-cilja-iot-ot-platforme\/#Mehanizmi_postojanosti\" >Mehanizmi postojanosti<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/sajberinfo.com\/en\/2025\/01\/07\/iocontrol-cilja-iot-ot-platforme\/#Bocno_kretanje\" >Bo\u010dno kretanje<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-8\" href=\"https:\/\/sajberinfo.com\/en\/2025\/01\/07\/iocontrol-cilja-iot-ot-platforme\/#Uticaj_na_kriticnu_infrastrukturu\" >Uticaj na kriti\u010dnu infrastrukturu<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-9\" href=\"https:\/\/sajberinfo.com\/en\/2025\/01\/07\/iocontrol-cilja-iot-ot-platforme\/#Napad_i_kompromitovanje\" >Napad i kompromitovanje<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-10\" href=\"https:\/\/sajberinfo.com\/en\/2025\/01\/07\/iocontrol-cilja-iot-ot-platforme\/#CyberAv3ngers\" >CyberAv3ngers<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-11\" href=\"https:\/\/sajberinfo.com\/en\/2025\/01\/07\/iocontrol-cilja-iot-ot-platforme\/#ZAKLJUCAK\" >ZAKLJU\u010cAK<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-12\" href=\"https:\/\/sajberinfo.com\/en\/2025\/01\/07\/iocontrol-cilja-iot-ot-platforme\/#ZASTITA\" >ZA\u0160TITA<\/a><\/li><\/ul><\/nav><\/div>\n<h2><span class=\"ez-toc-section\" id=\"IOCONTROL\"><\/span><strong>IOCONTROL<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\"><em>IOControl <\/em>zlonamjerni softver je sofisticirano sajber oru\u017eje koje <a href=\"https:\/\/sajberinfo.com\/en\/2020\/12\/08\/apt-sponzorisani-napadi\/\" target=\"_blank\" rel=\"nofollow noopener\">nacionalno sponzorisani zlonamjerni akter<\/a> koristi za napad na civilnu kriti\u010dnu infrastrukturu. Zlonamjerni softver povezan je sa Iranom i kori\u0161\u0107en je za napad na kriti\u010dnu infrastrukturu interneta stvari (<em>IoT<\/em>) i operativnih tehnologija (<em>OT<\/em>) u Izraelu i Sjedinjenim Ameri\u010dkim Dr\u017eavama.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Zlonamjerni softver cilja razli\u010dite tipove ure\u0111aja kao \u0161to su <em>IP<\/em> kamere, <em>ruteri<\/em>, programabilni logi\u010dki kontroleri (eng. <em>programmable logic controllers \u2013 PLC<\/em>), ljudsko-ma\u0161inska okru\u017eenja (eng. <em>human-machine interfaces \u2013 HMI<\/em>), za\u0161titni zidovi i drugi sli\u010dni ure\u0111aji proizvo\u0111a\u010da kao \u0161to su <em>Baicells<\/em>, <em>D-Link<\/em>, <em>Hikvision<\/em>, <em>Red<\/em> <em>Lion<\/em>, <em>Orpak<\/em>, <em>Phoenix<\/em> <em>Contact<\/em>, <em>Teltonika<\/em>, <em>Unitronics<\/em>, izme\u0111u ostalih.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Funkcionisanje\"><\/span><strong>Funkcionisanje<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\"><em>IOControl <\/em>zlonamjerni softver radi na generi\u010dkom okviru interneta stvari (<em>IoT<\/em>) i operativnih tehnologija (<em>OT<\/em>) za ugra\u0111ene ure\u0111aje zasnovane na <em>Linux<\/em> operativnom sistemu koji se po potrebi mogu prilagoditi specifi\u010dnim ciljevima. <a href=\"https:\/\/sajberinfo.com\/en\/2022\/02\/27\/hakeri-eticki-hakeri-epizoda-2\/\" target=\"_blank\" rel=\"nofollow noopener\">Sigurnosni istra\u017eiva\u010di<\/a> su dobili i analizirali uzorak ovog zlonamjernog softvera. Njihova analiza uklju\u010duje dubinski pogled na jedinstvene komunikacione kanale <em>IOControl <\/em>zlonamjernog softvera sa <em>C2<\/em> infrastrukturom zlonamjernog aktera, pru\u017eaju\u0107i vrijedan uvid u njegov rad i potencijalne mete.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h4><span class=\"ez-toc-section\" id=\"Komunikacioni_kanali\"><\/span><strong>Komunikacioni kanali<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h4>\n<p><span style=\"font-size: 14pt;\"><em>IOControl <\/em>zlonamjerni softver prvenstveno komunicira preko bezbjednog telemetrijskog transport za \u010dekanje poruka (eng. <em>Message Queuing Telemetry Transport \u2013 MQTT<\/em>) kanala, koji je protokol za razmjenu poruka otvorenog k\u00f4da koji se obi\u010dno koristi u aplikacijama interneta stvari (<em>IoT<\/em>). Zlonamjerni softver koristi ovaj metod komunikacije da \u0161alje podatke nazad na svoje <em>C2<\/em> servere i prima komande od zlonamjernog aktera. Da bi izbjegao otkrivanje, <em>IOControl<\/em> koristi razli\u010dite tehnike kao \u0161to je kori\u0161tenje prilago\u0111enih tema telemetrijskog transport za \u010dekanje poruka (<em>MQTT<\/em>), <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/20\/enkripcija-podataka-istorija-i-osnove-epizoda-1\/\" target=\"_blank\" rel=\"nofollow noopener\">\u0161ifrovane<\/a> komunikacije i <em>DNS<\/em> preko <em>HTTPS<\/em> (eng. <em>DNS over HTTPS \u2013 DoH<\/em>) za sakrivanje svoje C2 infrastrukture.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h4><span class=\"ez-toc-section\" id=\"Sifrovanje\"><\/span><strong>\u0160ifrovanje<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h4>\n<p><span style=\"font-size: 14pt;\">Malver koristi <em>AES-256<\/em> <a href=\"https:\/\/sajberinfo.com\/en\/2022\/04\/10\/enkripcija-podataka-funkcionisanje-i-vrste-epizoda-2\/\" target=\"_blank\" rel=\"nofollow noopener\">enkripciju<\/a> da za\u0161titi osjetljive podatke koji se prenose izme\u0111u kompromitovanih ure\u0111aja i servera zlonamjernog aktera. Me\u0111utim, izgleda da je do\u0161lo do gre\u0161ke od strane zlonamjernog aktera u vezi sa veli\u010dinom klju\u010da za <em>AES-256<\/em>. Koristili su niz od 64 heksadecimala umjesto ta\u010dne veli\u010dine od 32 bajta, koja koristi samo prva 32 bajta tokom procesa \u0161ifrovanja i de\u0161ifrovanja. Vektor inicijalizacije koji se koristi za \u0161ifrovanje je izveden iz ovog <a href=\"https:\/\/sajberinfo.com\/en\/2022\/06\/09\/enkripcija-podataka-hes-funkcija-epizoda-4\/\" target=\"_blank\" rel=\"nofollow noopener\">he\u0161a<\/a>, ali je i on du\u017ei nego \u0161to je potrebno, sa samo po\u010detnih 16 bajtova koji se koriste.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h4><span class=\"ez-toc-section\" id=\"Jedinstveni_identifikatori\"><\/span><strong>Jedinstveni identifikatori<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h4>\n<p><span style=\"font-size: 14pt;\">Jedna od jedinstvenih karakteristika <em>IOControl <\/em>zlonamjernog softvera je upotreba globalno jedinstvenih identifikatora (eng. <em>Globally Unique Identifiers &#8211; GUID<\/em>), koji se ubacuju u uzorke zlonamjernog softvera putem binarne ispravke da bi se razlikovale razli\u010dite \u017ertve ili kampanje. Ovi globalno jedinstveni identifikatori (<em>GUID<\/em>) slu\u017ee kao sjeme za izvo\u0111enje razli\u010ditih parametara unutar zlonamjernog softvera, olak\u0161avaju\u0107i zlonamjernim akterima da ih modifikuju bez ponovnog kompajliranja cijele baze k\u00f4dova zlonamjernog softvera. Pored toga, <em>IOControl <\/em>zlonamjerni softver koristi identifikatore dobavlja\u010da interneta stvari (<em>IoT<\/em>) za ciljanje odre\u0111enih ure\u0111aja pogo\u0111enih dobavlja\u010da kao \u0161to su <em>Baicells<\/em>, <em>D-Link<\/em>, <em>Hikvision<\/em>, <em>Red<\/em> <em>Lion<\/em>, <em>Orpak<\/em>, <em>Phoenix<\/em> <em>Contact<\/em>, <em>Teltonika<\/em>, <em>Unitronics <\/em>i drugi.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h4><span class=\"ez-toc-section\" id=\"Mehanizmi_postojanosti\"><\/span><strong>Mehanizmi postojanosti<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h4>\n<p><span style=\"font-size: 14pt;\"><em>IOControl <\/em>zlonamjerni softver koristi mehanizme postojanosti instalacijom <em>daemon <\/em>servisa na kompromitovanim sistemima da bi odr\u017eao pristup \u010dak i nakon ponovnog pokretanja ili drugih promjena sistema. Ovo osigurava da zlonamjerni softver mo\u017ee da nastavi da komunicira sa svojom <em>C2<\/em> infrastrukturom i izvr\u0161ava uputstva od zlonamjernog aktera po potrebi. Ta\u010dan metod koji se koristi za ovaj mehanizam postojanosti nije javno poznat, ali vjerovatno uklju\u010duje modifikaciju skripti za pokretanje sistema ili instaliranje usluge na pogo\u0111enom ure\u0111aju.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h4><span class=\"ez-toc-section\" id=\"Bocno_kretanje\"><\/span><strong>Bo\u010dno kretanje<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h4>\n<p><span style=\"font-size: 14pt;\">Jednom kada <em>IOControl <\/em>zlonamjerni softver dobije pristup mre\u017ei interneta stvari (<em>IoT<\/em>) i operativnih tehnologija (<em>OT<\/em>), potencijalno mo\u017ee da se <a href=\"https:\/\/sajberinfo.com\/en\/2023\/11\/09\/lateral-movement\/\" target=\"_blank\" rel=\"nofollow noopener\">kre\u0107e bo\u010dno<\/a> (eng. <em>lateral<\/em> <em>movement<\/em>) preko drugih ure\u0111aja unutar te mre\u017ee koriste\u0107i razli\u010dite tehnike kao \u0161to je iskori\u0161\u0107avanje ranjivosti u povezanim sistemima ili kori\u0161\u0107enje slabih <a href=\"https:\/\/sajberinfo.com\/en\/2019\/02\/24\/lozinka-password-sifra\/\" target=\"_blank\" rel=\"nofollow noopener\">lozinki<\/a> u svrhu autentifikacije. Ovo omogu\u0107ava zlonamjernim akterima da pro\u0161ire svoje upori\u0161te u ciljanoj infrastrukturi i izvedu opse\u017enije napade ako \u017eele.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Uticaj_na_kriticnu_infrastrukturu\"><\/span><strong>Uticaj na kriti\u010dnu infrastrukturu<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\"><em>IOControl <\/em>zlonamjerni softver je ocijenjen kao sajber oru\u017eje koje nacionalno sponzorisani zlonamjerni akter koristi za napad na civilnu kriti\u010dnu infrastrukturu. Ciljaju\u0107i razli\u010dite tipove ure\u0111aja interneta stvari (<em>IoT<\/em>) i operativnih tehnologija (<em>OT<\/em>), zlonamjerni softver mo\u017ee potencijalno da poremeti osnovne usluge kao \u0161to su elektri\u010dne mre\u017ee, postrojenja za pre\u010di\u0161\u0107avanje vode, transportni sistemi i komunikacione mre\u017ee. Takvi poreme\u0107aji mogu imati ozbiljne posljedice i po ekonomsku stabilnost i javnu bezbjednost u pogo\u0111enim regionima.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Na primjer, kompromituju\u0107i programabilne logi\u010dke kontrolere (<em>PLC<\/em>) ili ljudsko-ma\u0161inska okru\u017eenja (<em>HMI<\/em>) koji kontroli\u0161u industrijske procese mo\u017ee dovesti do nenamjernih promjena u proizvodnim parametrima, uzrokuju\u0107i defekte proizvoda ili \u010dak katastrofalne kvarove. Sli\u010dno tome, ometanje komunikacionih mre\u017ea mo\u017ee ometati napore za reagovanje u vanrednim situacijama tokom kriti\u010dnih situacija kao \u0161to su prirodne katastrofe ili teroristi\u010dki napadi.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Napad_i_kompromitovanje\"><\/span><strong>Napad i kompromitovanje<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Koordinisani napadi koje su pokrenuli <em>CyberAv3ngers<\/em> \u2013 nacionalno sponzorisani zlonamjerni akter od strane Irana na kriti\u010dne infrastrukturne objekte u Izraelu i Sjedinjenim Ameri\u010dkim Dr\u017eavama izvedeni su sa precizno\u0161\u0107u i zlonamjernom namjerom. U ovom slu\u010daju, na meti su bili objekti za vodu u Izraelu, a programabilni logi\u010dki kontroleri (<em>PLC<\/em>) i ljudsko-ma\u0161inska okru\u017eenja (<em>HMI<\/em>) serije <em>Integrated<\/em> <em>Unitronics<\/em> <em>Vision<\/em> u okviru ovih zemalja postali su primarni fokus njihovih napada. O\u0161te\u0107enje ovih ure\u0111aja operativnih tehnologija (<em>OT<\/em>) bio je namjeran \u010din koji je imao za cilj da unese strah me\u0111u stanovni\u0161tvo u pogledu kvaliteta vode u pogo\u0111enim podru\u010djima. Ova taktika se mo\u017ee posmatrati kao demonstracija mo\u0107i od strane <em>CyberAv3ngers <\/em>grupe zlonamjernih aktera, demonstriraju\u0107i ne samo njihov pristup kriti\u010dnim sistemima ve\u0107 i njihovu sposobnost da relativno lako ometaju osnovne usluge.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Vreme i priroda ovih napada na vodene objekte bili su zapanjuju\u0107e sli\u010dni onima koji su pokrenuti na 200 benzinskih pumpi u Izraelu i Sjedinjenim Ameri\u010dkim Dr\u017eavama, posebno ciljaju\u0107i <em>Orpak<\/em> ure\u0111aje za upravljanje gorivom. Kompromitovanjem ovih klju\u010dnih komponenti, zlonamjerni akteri su dobili neovla\u0161teni pristup osjetljivim podacima unutar glavnih portala za upravljanje pogo\u0111enim benzinskima stanicama. Tako\u0111e su dobili baze podataka koje sadr\u017ee informacije o njihovim metama, kao i povjerljive podatke koji bi potencijalno mogli da se koriste u zle svrhe.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Napad <em>CyberAv3ngers <\/em>grupe zlonamjernih aktera na <em>Orpak<\/em> ure\u0111aje za upravljanje gorivom nije bio ograni\u010den na puko o\u0161te\u0107enje ili kra\u0111u podataka; tako\u0111e su zarazili <em>Gasboy<\/em> <em>OrPT<\/em> terminal za pla\u0107anje u okviru sistema kontrole goriva. Ovaj upad je omogu\u0107io zlonamjernim akterima da ukradu informacije o kreditnim karticama i ometaju usluge snabdijevanja gorivom, uzrokuju\u0107i \u0161iroko rasprostranjeni haos i finansijski gubitak i za potro\u0161a\u010de i za preduze\u0107a.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Akcije <em>CyberAv3ngers <\/em>grupe zlonamjernih aktera nisu bile samo demonstracija njihove tehni\u010dke sposobnosti, ve\u0107 i potvr\u0111ivanje mo\u0107i nad kriti\u010dnim infrastrukturnim sistemima koji su od su\u0161tinskog zna\u010daja za funkcionisanje modernog dru\u0161tva. Ciljaju\u0107i ove objekte, oni su imali za cilj da unesu strah u srca onih koji se na njih oslanjaju i poremete usluge od kojih svakodnevno zavise milioni.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"CyberAv3ngers\"><\/span><strong><em>CyberAv3ngers<\/em><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\"><em>CyberAv3ngers<\/em> je grupa zlonamjernih aktera sponzorisana od strane Irana, poznata jo\u0161 pod imenima <em>OilRig, APT34, HELIX KITTEN, Magic Hound <\/em>i <em>Cobalt Gypsy<\/em>. Ovaj zlonamjerni akter sprovodi svoje zlonamjerne akcije u globalnom sajber prostoru od 2020. godine, sa primarnom misijom da sije razdor i stvori atmosferu pove\u0107anog rizika od naizgled nesofisticiranih napada.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><em>CyberAv3ngers<\/em> grupa zlonamjernih aktera rade pod okriljem Islamske revolucionarne garde (eng. <em>Islamic Revolutionary Guard Corps \u2013 IRGC<\/em>), ogranka iranske vojske odgovorne za za\u0161titu islamskog sistema zemlje. Poznato je da grupa koristi razli\u010dite taktike, tehnike i procedure u svojim sajber operacijama, \u010desto ciljaju\u0107i kriti\u010dnu infrastrukturu kao \u0161to su stanice za pre\u010di\u0161\u0107avanje vode, energetski objekti i transportni sistemi.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Njihov na\u010din rada uklju\u010duje kori\u0161tenje platformi <a href=\"https:\/\/sajberinfo.com\/en\/2023\/01\/15\/drustveni-mediji-uvod-epizoda-1\/\" target=\"_blank\" rel=\"nofollow noopener\">dru\u0161tvenih medija<\/a> kao \u0161to su <em>Telegram<\/em> i <em>Twitter<\/em> (<em>X<\/em>) za objavljivanje prijetnji i dijeljenje datoteka za koje tvrde da su eksfiltrirani iz ciljanih sistema. Ovi postovi su dizajnirani da stvore strah i neizvesnost, \u010desto pra\u0107eni tvrdnjama o neizbje\u017enim sajber napadima na odre\u0111enu infrastrukturu u Izraelu ili drugim zemljama.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Zlonamjerni akteri su pokazali posebno interesovanje za ciljanje programabilnih logi\u010dkih kontrolera (<em>PLC<\/em>), koji se obi\u010dno koriste u sektoru vodovoda i otpadnih voda. Ovi programabilni logi\u010dki kontroleri (<em>PLC<\/em>), koji se \u010desto rebrendiraju da izgledaju kao da poti\u010du od razli\u010ditih proizvo\u0111a\u010da ili kompanija, igraju klju\u010dnu ulogu u razli\u010ditim industrijama osim sistema vode, uklju\u010duju\u0107i energiju, proizvodnju hrane i pi\u0107a, transportne sisteme i zdravstvenu za\u0161titu.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Uticaj napada kompanije <em>CyberAv3ngers<\/em> grupe zlonamjernih aktera mo\u017ee da varira od ometanja osnovnih usluga kao \u0161to je snabdijevanje vodom do izazivanja zna\u010dajnih finansijskih gubitaka za preduze\u0107a koja se oslanjaju na ove sisteme. Poznato je da grupa prijeti uni\u0161tenjem industrijske opreme kao \u0161to su sistemi nadzorne kontrole i prikupljanja podataka (eng. <em>supervisory control and data acquisition \u2013 SCADA)<\/em>, programabilni logi\u010dki kontroleri (<em>PLC<\/em>) i ljudsko-ma\u0161inska okru\u017eenja (<em>HMI<\/em>), \u0161to bi moglo dovesti do katastrofalnih posljedica ako se uspje\u0161no izvr\u0161i.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Grupa je tako\u0111e poznata po tome \u0161to koristi obavje\u0161tajne podatke otvorenog k\u00f4da (eng. <em>open-source intelligence \u2013 OSINT<\/em>) za prikupljanje informacija o svojim metama prije nego \u0161to pokrene napad. Ovo prikupljanje podataka poma\u017ee im da efikasno prilagode svoje napade, pove\u0107avaju\u0107i \u0161anse za uspeh i smanjuju\u0107i mogu\u0107nost otkrivanja.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZAKLJUCAK\"><\/span><strong>ZAKLJU\u010cAK<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\"><em>IOControl <\/em>zlonamjerni softver predstavlja ozbiljnu prijetnju kriti\u010dnoj infrastrukturi \u0161irom sveta, posebno u sektorima interneta stvari (<em>IoT<\/em>) i operativnih tehnologija (<em>OT<\/em>). Njegova sposobnost da cilja razli\u010dite tipove ure\u0111aja \u010dini ga svestranim alatom za nacionalno sponzorisane zlonamjerne aktere koji \u017eele da izazovu poreme\u0107aj ili ukradu osjetljive podatke iz civilne kriti\u010dne infrastrukture. Da bi se za\u0161titile od takvih prijetnji, organizacije moraju da daju prioritet mjerama <a href=\"https:\/\/sajberinfo.com\/en\/2018\/12\/23\/sajber-bezbjednost\/\" target=\"_blank\" rel=\"nofollow noopener\">sajber bezbjednosti<\/a>, uklju\u010duju\u0107i redovna a\u017euriranja i ispravke za svoje ure\u0111aje, jake lozinke i segmentaciju mre\u017ee. Pored toga, mre\u017ee za pra\u0107enje neobi\u010dnih aktivnosti i implementacija sistema za otkrivanje upada mogu pomo\u0107i da se brzo identifikuju i reaguju na <em>IOControl<\/em> infekcije.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Ovakvi postupci zlonamjernih aktera slu\u017ee kao dobar podsjetnik na ranjivosti svojstvene me\u0111usobno povezanom digitalnom svijetu. Kako se sve vi\u0161e sistema oslanja na digitalnu infrastrukturu, klju\u010dno je da se uvedu adekvatne mjere bezbjednosti za za\u0161titu od takvih prijetnji. Neuspjeh u tome mo\u017ee rezultirati katastrofalnim posljedicama i za pojedince i za narode.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Kako okru\u017eenje prijetnji nastavlja da se razvija, klju\u010dno je da organizacije ostanu oprezne i da u skladu sa tim prilagode svoju odbranu. Razumijevanje funkcionalnosti ovog sofisticiranog alata \u0107e pomo\u0107i braniocima da se bolje pripreme za budu\u0107e napade nacionalno sponzorisanih zlonamjernih aktera koji ciljaju ure\u0111aje interneta stvari (<em>IoT<\/em>) i operativnih tehnologija (<em>OT<\/em>).<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZASTITA\"><\/span><strong>ZA\u0160TITA<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Kako bi se efikasno za\u0161titili svoju kriti\u010dnu infrastrukturu od <em>IOControl<\/em> zlonamjernog softvera i sli\u010dnih prijetnji, organizacije uz pomo\u0107 dr\u017eave moraju primijetiti vi\u0161eslojnu strategiju odbrane koja obuhvata razli\u010dite aspekte sajber bezbjednosti:<\/span><\/p>\n<ol>\n<li><span style=\"font-size: 14pt;\">Uklju\u010dite <em>IOControl<\/em> taktike, tehnike, procedure i indikatore kompromisa (eng. <em>indicators of compromise \u2013 IOC<\/em>) u sisteme za bezbjednost informacije i upravljanje doga\u0111ajima (eng. <em>Security information and event management \u2013 SIEM<\/em>), platforme za bezbjednosnu orkestraciju, automatizaciju i reagovanje (eng. <em>security orchestration, automation, and response \u2013 SOAR<\/em>) i izvore prijetnji. Ovo \u0107e pomo\u0107i u ranom otkrivanju i reagovanju na <em>IOControl<\/em> aktivnosti;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Podijeliti mre\u017eu na manje segmente da bi se ograni\u010dilo \u0161irenje zlonamjernog softvera kao \u0161to je <em>IOControl<\/em>. Izolovati kriti\u010dne infrastrukturne ure\u0111aje kao \u0161to su programabilni logi\u010dki kontroleri (<em>PLC<\/em>), ljudsko-ma\u0161inska okru\u017eenja (<em>HMI<\/em>), ruteri i za\u0161titni zidovi u odvojenim mre\u017eama sa strogom kontrolom pristupa;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Redovno a\u017eurirati sve interneta stvari (<em>IoT<\/em>) ure\u0111aje, upravlja\u010di softver (eng. <em>firmware<\/em>) i softver koji rade na kriti\u010dnim infrastrukturnim sistemima kako bi se za\u0161titili od poznatih ranjivosti koje bi <em>IOControl<\/em> mogao da iskoristi;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Implementirati sisteme za otkrivanje upada (eng. <em>intrusion detection systems \u2013 IDS<\/em>) i sisteme za spre\u010davanje upada (eng. <em>Intrusion Prevention Systems \u2013 IPS<\/em>) sposobne da otkriju anomalne obrasce mre\u017enog saobra\u0107aja povezane sa <em>IOControl <\/em>zlonamjernim softverom, kao \u0161to su nepoznati binarne datoteke i skripte, sumnjivi domeni i portovi, skriveni mehanizmi postojanosti i komande za izvi\u0111anje sistema;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Implementirati robusne mehanizme evidentiranja i nadgledanja da bi se pratile sve aktivnosti na kriti\u010dnim infrastrukturnim ure\u0111ajima. Redovno pregledati evidencije u potrazi za znakovima aktivnosti <em>IOControl<\/em> zlonamjernog softvera;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Primijeniti softvere za detekciju i odgovor na prijetnje (eng. <em>Endpoint detection and response \u2013 EDR<\/em>) koja mogu da otkriju, istra\u017ee i reaguju na napredne prijetnje kao \u0161to je <em>IOControl<\/em> u realnom vremenu ili skoro u realnom vremenu;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Analiza mre\u017enog saobra\u0107aja: Implementirati alate za analizu mre\u017enog saobra\u0107aja za nadzor \u0161ifrovanog <em>MQTT<\/em> saobra\u0107aj preko <em>TLS<\/em> protokola, jer je ovo uobi\u010dajena metoda koju koristi <em>IOControl<\/em> za komandnu i kontrolnu komunikaciju;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Redovno obu\u010davati osoblje o prepoznavanju <a href=\"https:\/\/sajberinfo.com\/en\/2022\/01\/02\/phishing-meta-su-ljudi-ne-tehnologija\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>phishing<\/em> <\/a>poruka elektronske po\u0161te, taktikama dru\u0161tvenog in\u017eenjeringa i bezbjednim internet praksama da da bi se sprije\u010dila slu\u010dajna preuzimanja ili instaliranje zlonamjernog softvera kao \u0161to je <em>IOControl;<\/em><\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Preporu\u010dljivo je sara\u0111ivati sa drugim organizacijama u istoj industriji kako bi se podpodjeli obavje\u0161tajni podatke o <em>IOControl<\/em> zlonamjernom softveru i sli\u010dnim prijetnjama, poma\u017eu\u0107i da se pobolj\u0161a ukupni polo\u017eaj sajber bezbjednosti protiv ovih vrsta napada.<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Razviti <a href=\"https:\/\/sajberinfo.com\/en\/2020\/10\/26\/plan-odgovora-na-sajber-prijetnju\/\" target=\"_blank\" rel=\"nofollow noopener\">plan odgovora na sajber prijetnju<\/a> koji navodi korake koje treba preduzeti kada se otkrije potencijalna prijetnja ili ugro\u017eavanje. Ovo bi trebalo da uklju\u010duje procedure za zadr\u017eavanje, iskorjenjivanje, oporavak i analizu nakon incidenta. Ovaj plan je potrebno redovno testirati putem stonih vje\u017ebi ili simuliranih napada kako bi se osiguralo da je efikasan i da je svo relevantno osoblje upoznato sa svojim ulogama i odgovornostima u slu\u010daju ugro\u017eavanja organizacije.<\/span><\/li>\n<\/ol>","protected":false},"excerpt":{"rendered":"<p>Sigurnosni istra\u017eiva\u010di ogranka Team82 kompanije Claroty otkrili su prilago\u0111eni zlonamjerni softver interneta stvari (eng. internet of things \u2013 IoT) i operativne tehnologije (eng. operational technology \u2013 OT) pod nazivom IOControl. U nastavku \u0107e biti&#46;&#46;&#46;<\/p>","protected":false},"author":1,"featured_media":7567,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[2552,2548,2547,2545,2554,2553,2549,2543,2551,2546,2550,2544],"class_list":["post-7566","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-cyberav3ngers","tag-firewall-breach","tag-hmi-attacks","tag-industrial-control-systems","tag-iocontrol","tag-iot-security-threats","tag-ip-camera-hacking","tag-iran-linked-malware","tag-ot-cybersecurity","tag-plc-hacking","tag-router-intrusion","tag-scada-attack"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/7566","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=7566"}],"version-history":[{"count":0,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/7566\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/7567"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=7566"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=7566"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=7566"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}