حمله بدافزار مرتبط با ایران به آمریکا و اسرائیل
رزنیکا رادمهر - بازوی تحقیقاتی شرکت کلاروتی (Claroty)، معروف به Team82، (شرکت امنیت سایبری که مقر آن در نیویورک است) بدافزار پیشرفتهای به نام IOCONTROL را کشف کرده که ادعا میشود توسط مهاجمان وابسته به ایران طراحی شده است. این بدافزار، دستگاههای اینترنت اشیا (IoT) و فناوری عملیاتی (OT) را در اسرائیل و ایالات متحده، هدف قرار میدهد.
به گزارش Securitybrief، بررسیها نشان میدهد این بدافزار در حمله به انواع دستگاههای IoT وSCADA/OT ، از جمله دوربینهایIP، روترها، کنترلکنندههای منطقی قابل برنامهریزی (PLC)، رابطهای انسانی ماشین (HMI) و فایروالها استفاده شده است. در این رابطه، شرکتهایی نظیر Baicells، D-Link، Hikvision، Red Lion، Orpak، Phoenix Contact، Teltonika و Unitronics، تحتتاثیر این حملات قرار گرفتهاند.
بر اساس تحقیقات شرکت Claroty، این بدافزار به عنوان یک سلاح سایبری توسط یک دولت برای حمله به زیرساختهای حیاتی غیرنظامی استفاده شده است. تحلیلهای انجامشده توسطTeam82 ، تواناییهای پیشرفته IOCONTROL و مسیرهای ارتباطی منحصربهفرد آن، با زیرساختهای فرمان و کنترل (C2) مهاجمان را بررسی کرده است. طراحی ماژولار این بدافزار، امکان عملکرد در پلتفرمهای مختلف را فراهم کرده و بیانگر ساخت سفارشی آن، همراه با حفظ کارکرد عمومی است.
تحقیقاتClaroty ، نقش گروهی به نام CyberAv3ngers را که به ایران مرتبط است، در مجموعهای از حملات نشان میدهد. این حملات، بخشی از عملیات گسترده سایبری علیه دستگاههای IoT و OT در کشورهای غربی تلقی میشوند. یکی از موارد برجسته، نفوذ به سیستمهای مدیریت سوخت Orpak (ساخت اسرائیل) و Gasboy (ساخت ایالات متحده) در هر دو کشور بود.
این وقایع به عنوان ادامه تنشهای ژئوپلیتیکی بین ایران و اسرائیل قلمداد میشوند و ادعا میشود گروه CyberAv3ngers به ایران مرتبط باشد. این گروه، جزییات نفوذهای خود را در پلتفرمهایی مانند تلگرام به اشتراک گذاشته است.
وزارت خزانهداری ایالات متحده در فوریه، در واکنش به این اقدامات، تحریمهایی را علیه 6 مقام فرماندهی سایبری الکترونیک سپاه، اعمال و جایزه ۱۰ میلیون دلاری برای اطلاعاتی که منجر به شناسایی یا مکانیابی افراد دخیل در این فعالیتهای سایبری شود، اعلام کرد.
تحلیلهای فنی IOCONTROL، که از سیستمهای مدیریت سوخت بهخطرافتاده، استخراج شده، نشان داد این بدافزار از پروتکل MQTT برای ارتباط امن با زیرساختهای مهاجم استفاده میکند. این پروتکل، ترافیک بین زیرساخت فرمان و کنترل را پنهان میکند و بر طراحی استراتژیک این بدافزار به عنوان سلاح سایبری برای هدف قرار دادن زیرساخت حیاتی غیرنظامی تاکید دارد.
تحقیقات بیشتر، دلیل حوادث گذشته، مانند حمله به تاسیسات تصفیه آب در ایالات متحده و اسرائیل در اکتبر ۲۰۲۳ را آشکار کرد. در این حملات، دستگاههای Vision PLC/HMI شرکت Unitronics آسیب دیدند و این آسیبها، احتمالا به عنوان یک تاکتیک ارعاب عمل کرده است.
چارچوب بدافزارIOCONTROL ، در دستگاههای مبتنی بر لینوکس تعبیه شده و فرمانهای پایه شامل اجرای کد دلخواه و اسکن پورت را ممکن میسازد. این امر، امکان کنترل از راه دور و حرکت جانبی در سیستمها را فراهم میکند. این بدافزار همچنین از مکانیسمهای ماندگاری، از جمله نصب سرویسهای دائمی (daemon) و استراتژیهای پنهانسازی، نظیر فشردهسازی اصلاحشده UPX استفاده مینماید. این بدافزار، همچنین از DNS رویHTTPS ، برای پنهان کردن زیرساخت فرمان و کنترل خود بهره میبرد که تشخیص آن را دشوارتر میکند.
ظهورIOCONTROL ، استفاده روزافزون از ابزارهای سایبری در حملات دولتی را برجسته میسازد. این حملات به طور خاص زیرساختهای حیاتی را هدف قرار میدهند و بازتاب درگیریهای ژئوپلیتیکی گستردهتر هستند. استراتژی مهاجمان در بهرهبرداری از آسیبپذیریهای موجود در محیطهای اینترنت اشیا (IoT) و فناوری عملیاتی (OT)، نیاز به تدابیر امنیت سایبری شدیدتر در این حوزهها را ضروری میسازد. (منبع:عصرارتباط)