Ciberseguridad 360 | Nuevo malware IOCONTROL utilizado en ataques a infraestructuras críticas

Agentes iran�es est�n utilizando un nuevo malware llamado IOCONTROL para comprometer dispositivos del Internet de las Cosas (IoT) y sistemas OT/SCADA utilizados por infraestructuras cr�ticas en Israel y Estados Unidos.

Los dispositivos atacados incluyen routers, controladores l�gicos programables (PLC), interfaces hombre-m�quina (HMI), c�maras IP, Firewall y sistemas de gesti�n de combustible.

La naturaleza modular del malware lo hace capaz de comprometer un amplio espectro de dispositivos de diversos fabricantes, entre ellos D-Link, Hikvision, Baicells, Red Lion, Orpak, Phoenix Contact, Teltonika y Unitronics.

Los investigadores del Team82 de Claroty, que han descubierto y muestreado IOCONTROL para su an�lisis, informan de que se trata de un arma cibern�tica de un Estado-naci�n que puede causar interrupciones significativas en infraestructuras cr�ticas.

Dado el actual conflicto geopol�tico, IOCONTROL se utiliza actualmente para atacar sistemas israel�es y estadounidenses, como los sistemas de gesti�n de combustible Orpak y Gasboy.

Al parecer, la herramienta est� vinculada a un grupo de hackers iran� conocido como CyberAv3ngers, que ya ha mostrado inter�s en atacar sistemas industriales en el pasado. OpenAI tambi�n inform� recientemente de que el grupo de amenazas utiliza ChatGPT para crackear PLC, desarrollar scripts de exploits personalizados en bash y Python, y planificar su actividad posterior al ataque.

Ataques con IOCONTROL

Claroty extrajo muestras de malware de un sistema de control de combustible Gasboy, concretamente del terminal de pago del dispositivo (OrPT), pero los investigadores no saben con exactitud c�mo lo infectaron los hackers con IOCONTROL.

Dentro de esos dispositivos, IOCONTROL podr�a controlar surtidores, terminales de pago y otros sistemas perif�ricos, causando potencialmente interrupciones o robo de datos.

Los autores de la amenaza han afirmado haber puesto en peligro 200 gasolineras en Israel y Estados Unidos a trav�s de Telegram, lo que coincide con las conclusiones de Claroty.

Estos ataques se produjeron a finales de 2023, m�s o menos al mismo tiempo que la desfiguraci�n de dispositivos Unitronics Vision PLC/HMI en instalaciones de tratamiento de aguas, pero los investigadores informan de que surgieron nuevas campa�as a mediados de 2024.

A partir del 10 de diciembre de 2024, ninguno de los 66 motores antivirus de VirusTotal detectaba el binario de malware UPX.

Sistema de control de combustible Gasboy del que se extrajo el malware

Fuente: Claroty

Capacidades del malware

El malware, que se almacena en el directorio '/usr/bin/' bajo el nombre de 'iocontrol.', utiliza una configuraci�n modular para adaptarse a diferentes proveedores y tipos de dispositivos, apuntando a un amplio espectro de arquitecturas de sistemas.

Utiliza un script de persistencia ('S93InitSystemd.sh') para ejecutar el proceso malicioso ('iocontrol') al arrancar el sistema, por lo que el reinicio del dispositivo no lo desactiva.

Utiliza el protocolo MQTT a trav�s del puerto 8883 para comunicarse con su servidor de comando y control (C2), que es un canal y protocolo est�ndar para dispositivos IoT. En las credenciales MQTT se incrustan identificadores de dispositivo �nicos para un mejor control.

Se utiliza DNS sobre HTTPS (DoH) para resolver los dominios C2 y eludir las herramientas de supervisi�n del tr�fico de red, y la configuraci�n del malware se cifra mediante AES-256-CBC.

Los comandos que soporta IOCONTROL son los siguientes:

Enviar "hola": Reporta informaci�n detallada del sistema (por ejemplo, nombre de host, usuario actual, modelo de dispositivo) al C2.

Check exec: Confirma que el binario del malware est� correctamente instalado y es ejecutable.

Ejecutar comando: Ejecuta comandos arbitrarios del sistema operativo a trav�s de llamadas al sistema e informa del resultado.

Autoborrado: Elimina sus propios binarios, scripts y registros para eludir la detecci�n.

Escaneo de puertos: Escanea rangos de IP y puertos especificados para identificar otros objetivos potenciales.

Los comandos anteriores se ejecutan mediante llamadas al sistema recuperadas din�micamente de la biblioteca "libc", y los resultados se escriben en archivos temporales para la generaci�n de informes.

Flujo de ataque simplificado

Fuente: Claroty

Dado el papel que desempe�an los objetivos de IOCONTROL en las infraestructuras cr�ticas y la continua actividad del grupo, el informe de Claroty constituye un valioso recurso para que los defensores ayuden a identificar y bloquear la amenaza.

Al final del informe se enumeran todos los indicadores de compromiso (IoC).

Fuente: bleepingcomputer