ఇరాన్-లింక్డ్ సిబ్బంది క్లిష్టమైన US ఇన్‌ఫ్రాస్ట్రక్చర్‌పై దాడులలో అనుకూలీకరించిన ‘సైబర్ వెపన్’ని ఉపయోగించారు

భద్రతా పరిశోధకుల ప్రకారం, ఇరాన్ ప్రభుత్వం-లింక్డ్ సైబర్‌క్రిమినల్ బృందం US మరియు ఇజ్రాయెల్‌లోని నీరు మరియు ఇంధన నిర్వహణ వ్యవస్థలపై రిమోట్‌గా దాడి చేయడానికి మరియు నియంత్రించడానికి IOCONTROL అనే కస్టమ్ మాల్వేర్‌ను ఉపయోగించింది.

IOCONTROL అనేది IoT పరికరాలను హైజాక్ చేయడానికి అనుకూల బ్యాక్‌డోర్ అయితే, Claroty’s Team82 ప్రకారం, గ్యాస్ స్టేషన్‌లలో ఉపయోగించే ఇంధన పంపులతో సహా కార్యాచరణ సాంకేతికత (OT)పై కూడా ఇది “ప్రత్యక్ష ప్రభావం” చూపుతుంది.

ఇస్లామిక్ రివల్యూషనరీ గార్డ్ కార్ప్స్ (IRGC)కి అనుబంధంగా ఉన్న CyberAv3ngersకు ఆపాదించబడిన దాడి సమయంలో థ్రెట్ ఇంటెలిజెన్స్ గ్రూప్ గ్యాస్‌బాయ్ ఫ్యూయల్ మేనేజ్‌మెంట్ సిస్టమ్‌లో మోహరించిన నమూనాను విశ్లేషించింది. మాల్వేర్ OrPT అని పిలువబడే Gasboy యొక్క చెల్లింపు టెర్మినల్‌లో పొందుపరచబడింది, అంటే దాడి చేసేవారు ఇంధన సేవలను పూర్తిగా మూసివేసి ఉండవచ్చు మరియు కస్టమర్ల చెల్లింపు సమాచారాన్ని దొంగిలించవచ్చు లేదా మాకు చెప్పబడింది.

“IOCONTROL అనేది కీలకమైన పౌర మౌలిక సదుపాయాలపై దాడి చేయడానికి ఒక దేశ-రాష్ట్రం ఉపయోగించే సైబర్‌వెపన్ అని మేము అంచనా వేస్తున్నాము,” Team82 నొక్కిచెప్పారు డిసెంబర్ 10 నివేదికలో.

ప్రభావిత పరికరాలలో రూటర్‌లు, ప్రోగ్రామబుల్ లాజిక్ కంట్రోలర్‌లు (PLCలు), హ్యూమన్-మెషిన్ ఇంటర్‌ఫేస్‌లు (HMIలు), ఫైర్‌వాల్‌లు మరియు బైసెల్స్, D-లింక్, హిక్విజన్, రెడ్ లయన్, ఓర్పాక్, ఫీనిక్స్ కాంటాక్ట్, టెల్టోనికా ద్వారా తయారు చేయబడిన ఇతర Linux-ఆధారిత IoT/OT ప్లాట్‌ఫారమ్‌లు ఉన్నాయి. , యూనిట్రానిక్స్ మరియు ఇతర ప్రొవైడర్లు.

FBI మరియు ఇతర ఫెడరల్ ఏజెన్సీలు గత డిసెంబర్ CyberAv3ngersని నిందించింది ఉపయోగించిన Unitronics PLCలకు వ్యతిరేకంగా “బహుళ” దాడులకు నీరు మరియు USలోని ఇతర కీలకమైన అవస్థాపన వ్యవస్థలు. ఆ సమయంలో, సిబ్బంది US సౌకర్యాల వద్ద ఇజ్రాయెల్-నిర్మిత పరికరాలను లక్ష్యంగా చేసుకున్నారని మాత్రమే ఫెడ్‌లు పేర్కొన్నాయి.

Team82 యొక్క పరిశోధన పరిధిని మించి ఉందని సూచిస్తుంది. భద్రతా దుకాణం ప్రకారం, యునైటెడ్ స్టేట్స్ మరియు ఇజ్రాయెల్‌లోని ఓర్పాక్ సిస్టమ్స్ మరియు గ్యాస్‌బాయ్ తయారు చేసిన “అనేక వందల” ఇంధన నిర్వహణ పరికరాలను ఈ దాడుల్లో ఒకటి రాజీ పడింది. ఓర్పాక్ పరికరాలు ఇజ్రాయెల్‌లో తయారు చేయబడతాయి, గ్యాస్‌బాయ్ USAలో తయారు చేయబడింది.

Cyberav3ngers గతంలో దాని టెలిగ్రామ్ ఛానెల్‌లో ఓర్పాక్ వ్యవస్థలను లక్ష్యంగా చేసుకుని ఇజ్రాయెల్ మరియు USలోని 200 గ్యాస్ స్టేషన్‌లపై దాడి చేసినట్లు ప్రగల్భాలు పలికింది.

ఈ ప్రత్యేక దాడుల తరంగం 2023 అక్టోబర్ మధ్య నుండి 2024 జనవరి చివరి వరకు కొనసాగింది, IOCONTROL నమూనా VirusTotal నుండి పొందిన IOCONTROL నమూనా జూలై మరియు ఆగస్టులలో బహుళ IoT మరియు భద్రతా వ్యవస్థలను లక్ష్యంగా చేసుకుని మరో ప్రచారాన్ని ప్రారంభించిందని సూచించింది డేటా సేకరణ (SCADA). .

మాల్వేర్ ఉపయోగిస్తుంది MQTT కమ్యూనికేషన్ల కోసం IoT మెసేజింగ్ ప్రోటోకాల్. ఇది మీ కమాండ్ అండ్ కంట్రోల్ (C2) ఇన్‌ఫ్రాస్ట్రక్చర్‌కు హానికరమైన ట్రాఫిక్‌ను దాచిపెట్టడాన్ని దాడి చేసేవారికి సులభతరం చేస్తుంది.

ఇది హోస్ట్‌నేమ్‌లను IP చిరునామాలుగా అనువదించడానికి HTTPS (DoH) సేవ ద్వారా క్లౌడ్‌ఫ్లేర్ యొక్క DNSని కూడా ఉపయోగిస్తుంది, ఇది దాడి చేసేవారిని గుర్తించకుండా నిరోధించడంలో కూడా సహాయపడుతుంది. సాదా వచనంలో DNS అభ్యర్థనను పంపే బదులు, “వారు ఎన్‌క్రిప్టెడ్ ప్రోటోకాల్ (HTTPS)ని ఉపయోగించారు, అంటే నెట్‌వర్క్‌లో ట్యాప్ ఉన్నప్పటికీ, ట్రాఫిక్ కనుగొనబడని విధంగా గుప్తీకరించబడుతుంది” అని Team82 రాసింది.

దాని సూచనలను స్వీకరించడానికి C2 ఇన్‌ఫ్రాస్ట్రక్చర్‌కు కనెక్ట్ చేయడానికి ముందు, IOCONTROL సోకిన పరికరంలో బ్యాక్‌డోర్‌ను ఉంచుతుంది, దాని సూత్రధారులు పరికరాలపై నియంత్రణను నిర్వహించడానికి అనుమతిస్తుంది. మాల్వేర్‌కు జారీ చేయగల ఆదేశాలలో ఏకపక్ష కోడ్ అమలు, స్వీయ-మినహాయింపు మరియు పోర్ట్ స్కానింగ్ ఉన్నాయి.

“రిమోట్ IoT పరికరాలను నియంత్రించడానికి మరియు అవసరమైతే పార్శ్వ కదలికలను నిర్వహించడానికి ఈ కార్యాచరణ సరిపోతుంది” అని పరిశోధకులు పేర్కొన్నారు. ®