Angebot für Mehrfachlizenz-Rabatt
Computersicherheit Iranische Hacker setzen IOCONTROL-Malware ein, um IoT-...

Iranische Hacker setzen IOCONTROL-Malware ein, um IoT- und OT-Geräte in den USA und Israel anzugreifen

Von Mura in Computersicherheit
Übersetzen Sie in:
Deutsch

Eine berüchtigte iranische Hackergruppe namens CyberAv3ngers wird mit einer Reihe von Cyberangriffen in Verbindung gebracht, die auf IoT- (Internet of Things) und OT-Geräte (Operational Technology) in den USA und Israel abzielten. Die speziell entwickelte Malware hinter diesen Angriffen, genannt IOCONTROL, ist darauf ausgelegt, kritische Infrastrukturen zu infiltrieren und löst bei Cybersicherheitsexperten und Regierungen gleichermaßen Alarm aus.

Staatlich geförderte Bedrohungen kritischer Infrastrukturen

CyberAv3ngers, die sich als Hacktivistengruppe bezeichnen, steht in Verbindung mit dem Korps der Islamischen Revolutionsgarde (IRGC) des Iran. Die Gruppe hat bereits zuvor industrielle Kontrollsysteme (ICS) in Wasserwerken in Irland und den Vereinigten Staaten ins Visier genommen und erhebliche Störungen verursacht. Bei einem Angriff auf ein Wasserversorgungsunternehmen in Pennsylvania im Jahr 2023 beispielsweise nutzten die Hacker schlecht gesicherte ICS aus, was zu zweitägigen Wasserausfällen führte.

Das Besorgniserregende an diesen Angriffen ist, dass sie auf grundlegenden Schwachstellen basieren. Viele ICS- und OT-Geräte sind mit Standardkennwörtern dem Internet ausgesetzt und sind daher für Angreifer, die keine fortgeschrittenen Hacking-Techniken benötigen, ein leichtes Ziel. Diese Sicherheitslücken verdeutlichen die anhaltenden Risiken, die durch schwache Infrastrukturschutzmaßnahmen entstehen.

So funktioniert die IOCONTROL-Malware

Laut Forschern von Claroty ist IOCONTROL eine Cyberwaffe, die speziell auf eingebettete Linux-basierte Geräte in IoT- und OT-Umgebungen abzielt. Die Malware ist vielseitig und kann für verschiedene Geräte angepasst werden, darunter:

  • IP-Kameras
  • Router
  • SCADA-Systeme
  • SPS (Speicherprogrammierbare Steuerungen)
  • HMIs (Mensch-Maschine-Schnittstellen)
  • Firewalls

Betroffen sind unter anderem Baicells, D-Link, Hikvision, Phoenix Contact, Teltonika und Unitronics. Diese breite Angriffsfläche lässt darauf schließen, dass die Malware mehrere Gerätetypen ausnutzen kann, die in industriellen und betrieblichen Netzwerken integriert sind.

IOCONTROL kommuniziert mit seinen Betreibern über das MQTT-Protokoll, einen leichten Kommunikationsstandard zwischen Maschinen. Dies ermöglicht es Angreifern, beliebigen Code auszuführen, Port-Scans durchzuführen und Malware seitlich über Netzwerke zu verbreiten, wodurch sie eine tiefere Kontrolle über kompromittierte Systeme erlangen.

Jüngste spektakuläre Angriffe

Eine der alarmierendsten Kampagnen fand im Oktober 2023 statt, als CyberAv3ngers behauptete, 200 Zapfsäulen in Israel lahmgelegt zu haben. Der Angriff nutzte Geräte, die mit Orpak Systems verbunden waren, einem Unternehmen, das Lösungen zur Verwaltung von Tankstellen anbietet.

Clarotys Analyse von IOCONTROL ergab eine Probe, die von einem Gasboy-Kraftstoffkontrollsystem – das eng mit Orpak verbunden ist – stammte, was darauf hindeutet, dass die Gruppe ihre Kampagne möglicherweise Mitte 2024 neu gestartet hat. Trotz laufender Untersuchungen bleibt unklar, wie die Malware ursprünglich verbreitet wurde.

Die umfassenderen Auswirkungen

Die IOCONTROL zugeschriebenen Angriffe unterstreichen den zunehmenden Fokus auf zivile kritische Infrastrukturen als Ziel staatlich geförderter Cyber-Kampagnen. Indem sie Schwachstellen im IoT und OT ausnutzen, können Gruppen wie CyberAv3ngers weitreichende Störungen verursachen, von der Unterbrechung der Wasserversorgung bis hin zur Einstellung der Kraftstoffverteilung. Diese Aktionen gefährden nicht nur die öffentliche Sicherheit, sondern erzeugen auch geopolitische Spannungen.

Als Reaktion darauf hat die US-Regierung eine Belohnung von bis zu 10 Millionen US-Dollar für Informationen ausgesetzt, die zur Identifizierung oder Verhaftung von Personen führen, die mit CyberAv3ngers in Verbindung stehen. Dies unterstreicht die Ernsthaftigkeit dieser Cyberbedrohungen und die dringende Notwendigkeit einer stärkeren Abwehr dagegen.

Schutz vor IOCONTROL und ähnlichen Bedrohungen

Organisationen, die IoT- und OT-Geräte verwalten, sollten die folgenden Schritte unternehmen, um Risiken zu mindern:

  1. Standardanmeldeinformationen ändern: Viele Angriffe sind aufgrund schwacher, werkseitig voreingestellter Passwörter erfolgreich. Implementieren Sie umgehend Richtlinien für sichere Passwörter.
  2. Netzwerksegmentierung: Isolieren Sie ICS- und OT-Geräte von internetbasierten Netzwerken, um potenzielle Zugriffspunkte für Angreifer einzuschränken.
  3. Regelmäßige Updates und Patches: Stellen Sie sicher, dass auf allen Geräten die neuesten Firmware- und Sicherheitsupdates ausgeführt werden.
  4. Auf Anomalien achten: Setzen Sie Intrusion Detection Systeme ein, um ungewöhnliche Aktivitäten wie Port-Scans oder unbefugte Zugriffsversuche zu identifizieren.
  5. Beschränken Sie den Fernzugriff: Beschränken Sie den Zugriff auf ICS- und OT-Geräte und lassen Sie nur Verbindungen von vertrauenswürdigen IP-Adressen zu.

Schlussworte

Die IOCONTROL-Malware-Kampagne ist eine deutliche Erinnerung an die Schwachstellen von IoT- und OT-Systemen. Da staatlich geförderte Gruppen wie CyberAv3ngers zunehmend kritische Infrastrukturen ins Visier nehmen, müssen Organisationen proaktive Cybersicherheitsmaßnahmen ergreifen, um sich gegen diese sich entwickelnden Bedrohungen zu verteidigen. Indem sie ihre Netzwerke sichern, können sie Angriffe verhindern, die verheerende Auswirkungen auf die öffentliche Sicherheit und wichtige Dienste haben könnten.

Wird geladen...