Devis de remise multi-licences
Sécurité informatique Des pirates iraniens déploient le logiciel malveillant...

Des pirates iraniens déploient le logiciel malveillant IOCONTROL pour cibler les appareils IoT et OT aux États-Unis et en Israël

Par Mura en Sécurité informatique
Se traduisent par :
Français

Un groupe de hackers iraniens de renom, CyberAv3ngers, a été impliqué dans une série de cyberattaques visant des appareils IoT (Internet des objets) et OT (technologie opérationnelle) aux États-Unis et en Israël. Le malware sur mesure à l’origine de ces attaques, baptisé IOCONTROL, est conçu pour infiltrer des infrastructures critiques, ce qui a suscité l’inquiétude des experts en cybersécurité et des gouvernements.

Menaces d'État contre les infrastructures critiques

CyberAv3ngers, qui se présente comme un groupe de hackers, est lié au Corps des gardiens de la révolution islamique (IRGC) d'Iran. Le groupe a déjà ciblé des systèmes de contrôle industriel (ICS) dans des installations de distribution d'eau en Irlande et aux États-Unis, provoquant d'importantes perturbations. Par exemple, lors d'une attaque en 2023 contre un service public d'eau en Pennsylvanie, les pirates ont exploité des ICS mal sécurisés, ce qui a entraîné deux jours de coupures d'eau.

L’aspect préoccupant de ces attaques est qu’elles s’appuient sur des vulnérabilités de base. De nombreux appareils ICS et OT sont exposés à Internet avec des mots de passe par défaut, ce qui en fait des cibles faciles pour les attaquants sans avoir besoin de techniques de piratage avancées. Ces failles de sécurité mettent en évidence les risques permanents posés par la faiblesse des protections des infrastructures.

Comment fonctionne le logiciel malveillant IOCONTROL

Selon les chercheurs de Claroty, IOCONTROL est une cyberarme spécialement conçue pour cibler les appareils Linux embarqués dans les environnements IoT et OT. Le malware est polyvalent et peut être personnalisé pour différents appareils, notamment :

  • Caméras IP
  • Routeurs
  • Systèmes SCADA
  • PLC (contrôleurs logiques programmables)
  • IHM (Interfaces Homme-Machine)
  • Pare-feu

Les principaux fournisseurs concernés sont notamment Baicells, D-Link, Hikvision, Phoenix Contact, Teltonika et Unitronics. Ce ciblage étendu suggère que le malware peut exploiter plusieurs types d'appareils faisant partie intégrante des réseaux industriels et opérationnels.

IOCONTROL communique avec ses opérateurs via le protocole MQTT, une norme de communication machine à machine légère. Cela permet aux attaquants d'exécuter du code arbitraire, d'effectuer des analyses de ports et de diffuser des logiciels malveillants de manière latérale sur les réseaux, obtenant ainsi un contrôle plus approfondi sur les systèmes compromis.

Attaques récentes de grande envergure

L’une des campagnes les plus alarmantes a eu lieu en octobre 2023, lorsque des cyber-aventuriers ont affirmé avoir perturbé 200 pompes à essence en Israël. L’attaque a exploité des appareils liés à Orpak Systems, une société fournissant des solutions de gestion de stations-service.

L'analyse d'IOCONTROL par Claroty a révélé un échantillon obtenu à partir d'un système de contrôle de carburant Gasboy, étroitement lié à Orpak, indiquant que le groupe avait potentiellement relancé sa campagne à la mi-2024. Malgré les enquêtes en cours, on ne sait toujours pas comment le malware a été initialement distribué.

Les implications plus larges

Les attaques attribuées à IOCONTROL mettent en évidence l’attention croissante portée aux infrastructures critiques civiles comme cible des campagnes de cybersécurité parrainées par les États. En exploitant les vulnérabilités de l’IoT et des OT, des groupes comme CyberAv3ngers peuvent provoquer des perturbations généralisées, allant de l’interruption de l’approvisionnement en eau à l’arrêt de la distribution de carburant. Ces actions présentent non seulement des risques pour la sécurité publique, mais créent également des tensions géopolitiques.

En réponse, le gouvernement américain a offert une récompense pouvant atteindre 10 millions de dollars pour toute information permettant d’identifier ou d’arrêter des individus associés aux CyberAv3ngers. Cela souligne la gravité de ces cybermenaces et le besoin urgent de renforcer les défenses contre elles.

Protection contre IOCONTROL et les menaces similaires

Les organisations qui gèrent des appareils IoT et OT doivent prendre les mesures suivantes pour atténuer les risques :

  1. Modifier les identifiants par défaut : de nombreuses attaques réussissent grâce à des mots de passe par défaut faibles. Mettez en œuvre immédiatement des politiques de mots de passe solides.
  2. Segmentation du réseau : isolez les appareils ICS et OT des réseaux connectés à Internet pour limiter les points d'accès potentiels pour les attaquants.
  3. Mises à jour et correctifs réguliers : assurez-vous que tous les appareils exécutent les dernières mises à jour de micrologiciel et de sécurité.
  4. Surveiller les anomalies : déployez des systèmes de détection d'intrusion pour identifier les activités inhabituelles, telles que les analyses de ports ou les tentatives d'accès non autorisées.
  5. Limiter l'accès à distance : restreignez l'accès aux appareils ICS et OT, en autorisant les connexions uniquement à partir d'adresses IP approuvées.

Derniers mots

La campagne de malware IOCONTROL est un rappel brutal des vulnérabilités inhérentes aux systèmes IoT et OT. Alors que les groupes parrainés par l’État comme CyberAv3ngers ciblent de plus en plus les infrastructures critiques, les organisations doivent adopter des mesures proactives de cybersécurité pour se défendre contre ces menaces en constante évolution. En sécurisant leurs réseaux, elles peuvent prévenir les attaques qui pourraient avoir des conséquences dévastatrices sur la sécurité publique et les services essentiels.

Chargement...