Los actores de amenazas afiliados a Irán han sido vinculados a un nuevo malware personalizado dirigido a entornos de IoT y tecnología operativa (OT) en Israel y Estados Unidos.
El malware tiene un nombre en código. IOCONTROL por la empresa de ciberseguridad OT Claroty, destacando su capacidad para atacar dispositivos IoT y de control de supervisión y adquisición de datos (SCADA), como cámaras IP, enrutadores, controladores lógicos programables (PLC), interfaces hombre-máquina (HMI), firewalls y otros sistemas Linux. plataformas IoT/OT basadas en
«Si proporcionadamente se cree que el malware ha sido creado a medida por el actor de la amenaza, parece que es lo suficientemente genérico como para poder ejecutarse en una variedad de plataformas de diferentes proveedores adecuado a su configuración modular», dijo la compañía.
El crecimiento convierte a IOCONTROL en la décima tribu de malware que destaca específicamente los sistemas de control industrial (ICS) a posteriori de Stuxnet, Havex, Industroyer (incluso conocido como CrashOverride), Triton (incluso conocido como Trisis), BlackEnergy2, Industroyer2, PIPEDREAM (incluso conocido como INCONTROLLER), COSMICENERGY y FrostyGoop ( incluso conocido como BUSTLEBERM) hasta la aniversario.
Vale la pena señalar que el malware fue documentado por primera vez por QiAnXin XLab a fines del mes pasado con el nombre OrpaCrab, describiéndolo como un «simple heroína de Troya de puerta trasera para sistemas Linux, que permite a los atacantes ejecutar comandos arbitrarios y obtener resultados en el dispositivo de la víctima». La compañía dijo que detectó el malware en febrero de 2024.
Claroty dijo que analizó una muestra de malware extraída de un sistema de gobierno de combustible Gasboy que anteriormente fue comprometido por el conjunto de hackers llamado Cyber Av3ngers, que ha sido vinculado a ataques cibernéticos que explotan los PLC de Unitronics para violar los sistemas de agua. El malware estaba integrado en la terminal de cuota de Gasboy, incluso señal OrPT.
Esto incluso significa que los actores de la amenaza, dada su capacidad para controlar la terminal de cuota, incluso tenían los medios para cerrar los servicios de combustible y potencialmente robar información de las tarjetas de crédito de los clientes.
«El malware es esencialmente un armas cibernética utilizada por un Estado-nación para atacar infraestructuras civiles críticas; al menos una de las víctimas fueron los sistemas de gobierno de combustible Orpak y Gasboy», dijo Claroty.
El objetivo final de la condena de infección es implementar una puerta trasera que se ejecuta automáticamente cada vez que se reinicia el dispositivo. Un aspecto trascendental de IOCONTROL es el uso de MQTT, un protocolo de correo ampliamente utilizado en dispositivos IoT, para las comunicaciones, lo que permite a los actores de amenazas disfrazar el tráfico taimado.
Adicionalmente, los dominios de comando y control (C2) se resuelven mediante el servicio DNS sobre HTTPS (DoH) de Cloudflare. Este enfoque, ya recogido por grupos de estados-nación chinos y rusos, es importante, ya que permite que el malware evada la detección cuando envía solicitudes de DNS en texto sin sintetizar.
Una vez que se establece una conexión C2 exitosa, el malware transmite información sobre el dispositivo, es opinar, nombre de host, usufructuario coetáneo, nombre y maniquí del dispositivo, zona horaria, lectura de firmware y ubicación, al servidor, a posteriori de esperar más comandos para su ejecución.
Esto incluye comprobaciones para asegurar que el malware esté instalado en el directorio designado, ejecutar comandos arbitrarios del sistema operante, finalizar el malware y escanear un rango de IP en un puerto específico.
«El malware se comunica con un C2 a través de un canal MQTT seguro y admite comandos básicos que incluyen ejecución de código caprichoso, autoeliminación, escaneo de puertos y más», dijo Claroty. «Esta funcionalidad es suficiente para controlar dispositivos IoT remotos y realizar movimientos laterales si es necesario».
(La historia se actualizó a posteriori de la publicación para incluir información de QiAnXin XLab sobre el mismo malware).