ساخت پیچیده‌ترین سلاح سایبری زیرساختی جهان توسط ایران

به گزارش کارگروه بین‌الملل سایبربان؛ «Team82»، بازوی تحقیقاتی شرکت امنیت سایبری اسرائیلی-آمریکایی کلاروتی (Claroty)، در جدیدترین گزارش خود از کشف بدافزار پیچیده‌ای به نام «IOCONTROL» خبر داد که دستگاه‌های اینترنت اشیا و فناوری عملیاتی را در اراضی اشغالی و ایالات متحده هدف قرار می‌دهد.

کارشناسان معتقدند که IOCONTROL روی طیف وسیعی از دستگاه‌های اینترنت اشیا و سامانه گردآوری داده/فناوری عملیاتی، از جمله دوربین‌های آی‌پی، روترها، PLCها، HMIها و فایروال‌ها مستقر شده است. این بدافزار بر فروشندگان مختلفی مانند «Baicells»، «D-Link»، «Hikvision»، «Red Lion»، «Orpak»، «Phoenix Contact»، «Teltonika» و «Unitronics» تأثیر می گذارد. به گفته کلاروتی، این بدافزار به عنوان یک سلاح سایبری عمل می‌کند و برای حمله به زیرساخت‌های حیاتی غیرنظامی استفاده می‌شود.

تجزیه و تحلیل انجام شده توسط Team82 عمیقاً به قابلیت‌های پیشرفته IOCONTROL و مسیرهای ارتباطی منحصر به فرد آن به زیرساخت فرماندهی و کنترل مهاجمان (C2) می‌پردازد. پیکربندی مدولار بدافزار به آن اجازه می‌دهد تا در انواع پلتفرم‌ها عمل کند که نشان‌دهنده ماهیت سفارشی‌سازی آن و حفظ عملکرد عمومی است.

شرکت امنیت سایبری کلاروتی این بدافزار را در صدر لیست ۱۰ بدافزار تخریبگر صنعتی و بالاتر از استاکس‌نت آمریکایی و بلک‌انرژی چینی قرار داده که موجب ترس محافل امنیت سایبری درخصوص میزان آلودگی و گستردگی آن کرده است.

کلاروتی ادعا کرد که گروه هکری موسوم به انتقام‌جویان سایبری (CyberAv3ngers) مرتبط با ایران در مجموعه‌ای از حملات که گمان می‌رود بخشی از یک عملیات سایبری گسترده‌تر علیه دستگاه‌های اینترنت اشیا و فناوری عملیاتی غربی باشد، نقش داشته است. یکی از نمونه‌های قابل توجه شامل به خطر افتادن چندین سیستم Orpak ساخت رژیم صهیونیستی و سیستم‌های مدیریت سوخت «Gasboy» ساخت ایالات متحده بود.

محققان مدعی شدند که این حوادث به‌عنوان گسترش تنش‌های ژئوپلیتیکی بین رژیم صهیونیستی و ایران تلقی می‌شود و انتقام‌جویان سایبری با فرماندهی الکترونیک سایبری سپاه پاسداران انقلاب اسلامی (IRGC-CEC) ارتباط دارد. این گروه جزئیات نقض‌ها را در پلتفرم‌هایی مانند تلگرام به اشتراک گذاشته است.

در واکنش به این اقدامات، وزارت خزانه‌داری آمریکا در ماه فوریه سال جاری تحریم‌هایی را علیه 6 مقام سپاه پاسداران انقلاب اسلامی مرتبط با انتقام‌جویان سایبری اعمال و برای اطلاعاتی که می‌تواند منجر به شناسایی یا یافتن افراد دخیل در این فعالیت‌های سایبری شود، 10 میلیون دلار جایزه تعیین کرد.

تجزیه و تحلیل فنی IOCONTROL که از سیستم‌های مدیریت سوخت به خطر افتاده استخراج شد، نشان داد که بدافزار از پروتکل «MQTT» برای برقراری ارتباط امن با زیرساخت مهاجم استفاده می‌کند. این پروتکل اجازه می‌دهد تا ترافیک پنهان به و از زیرساخت فرماندهی و کنترل، بر طراحی استراتژیک آن به عنوان یک سلاح سایبری علیه زیرساخت‌های حیاتی تأکید کند.

بررسی‌های بیشتر حوادث گذشته مانند حملات به تأسیسات تصفیه آب در ایالات متحده و اراضی اشغالی در اکتبر 2023 را نشان داد؛ این حملات، شامل دستگاه‌های PLC/HMI سری «Unitronics Vision»، ظاهراً منجر به تخریب دستگاه‌های فناوری عملیاتی شده است که احتمالاً به عنوان یک تاکتیک ارعاب عمل می‌کند.

چارچوب بدافزار IOCONTROL تعبیه شده در دستگاه‌های مبتنی بر لینوکس توصیف شده که دستورات اساسی از جمله اجرای کد دلخواه و اسکن پورت را امکان‌پذیر و امکان کنترل از راه دور و حرکت جانبی بالقوه را در سراسر سیستم‌ها فراهم می‌کند.

بنابر ادعای کارشناسان، این بدافزار همچنین از مکانیسم ماندگاری، از جمله نصب دیمون، استفاده می‌کند و استراتژی‌های مخفی مانند بسته‌بندی UPX اصلاح شده را در خود جای می‌دهد؛ از DNS روی HTTPS استفاده می‌کند تا زیرساخت فرماندهی و کنترل خود را مبهم و تلاش‌های شناسایی را پیچیده‌تر ‌کند.

محققان ادعا کردند که ظهور IOCONTROL استفاده روزافزون از ابزارهای سایبری در حملات تحت حمایت دولت، به ویژه زیرساخت‌های حیاتی را هدف قرار می‌دهد و منعکس کننده درگیری‌های ژئوپلیتیک گسترده‌تر است. راهبرد اتخاذ شده توسط مهاجمان برای سوءاستفاده از آسیب‌پذیری‌ها در محیط‌های اینترنت اشیا و فناوری عملیاتی بر نیاز به افزایش اقدامات امنیت سایبری در این حوزه‌ها تأکید می‌کند.