Atores de ameaças iranianos estão utilizando um novo malware chamado IOCONTROL para comprometer dispositivos da Internet das Coisas (IoT) e sistemas OT/SCADA usados por infraestruturas críticas em Israel e nos Estados Unidos.
Os dispositivos visados incluem roteadores, controladores lógicos programáveis (PLCs), interfaces homem-máquina (HMIs), câmeras IP, firewalls e sistemas de gestão de combustível.
A natureza modular do malware o torna capaz de comprometer uma ampla variedade de dispositivos de diversos fabricantes, incluindo D-Link, Hikvision, Baicells, Red Lion, Orpak, Phoenix Contact, Teltonika e Unitronics.
Pesquisadores do Claroty's Team82, que descobriram e analisaram o IOCONTROL, relatam que se trata de uma cyberarma estatal capaz de causar interrupções significativas na infraestrutura crítica.
Dado o conflito geopolítico em curso, o IOCONTROL está atualmente sendo usado para mirar em sistemas de Israel e dos EUA, como os sistemas de gestão de combustível Orpak e Gasboy.
A ferramenta está supostamente ligada a um grupo de hacking iraniano conhecido como CyberAv3ngers, que já demonstrou interesse em atacar sistemas industriais anteriormente.
A OpenAI também relatou recentemente que o grupo de ameaça usa ChatGPT para hackear PLCs, desenvolver scripts de exploração personalizados em bash e Python, e planejar sua atividade pós-comprometimento.
A Claroty extraiu amostras de malware de um sistema de controle de combustível Gasboy, especificamente o terminal de pagamento (OrPT) do dispositivo, mas os pesquisadores não sabem exatamente como os hackers o infectaram com o IOCONTROL.
Dentro desses dispositivos, o IOCONTROL poderia controlar bombas, terminais de pagamento e outros sistemas periféricos, potencialmente causando interrupção ou roubo de dados.
Os atores de ameaça alegaram comprometer 200 postos de gasolina em Israel e nos EUA no Telegram, o que está alinhado com os achados da Claroty.
Esses ataques ocorreram no final de 2023, aproximadamente na mesma época que o defacement de dispositivos Unitronics Vision PLC/HMI em instalações de tratamento de água, mas os pesquisadores relatam que novas campanhas surgiram em meados de 2024.
Em 10 de dezembro de 2024, o binário do malware empacotado com UPX não é detectado por nenhum dos 66 motores antivirus do VirusTotal.
O malware, que é armazenado no diretório '/usr/bin/' sob o nome 'iocontrol', usa uma configuração modular para se adaptar a diferentes fornecedores e tipos de dispositivos, visando um amplo espectro de arquiteturas de sistema.
Ele usa um script de persistência ('S93InitSystemd.sh') para executar o processo do malware ('iocontrol') na inicialização do sistema, de forma que reiniciar o dispositivo não o desativa.
Ele usa o protocolo MQTT através da porta 8883 para se comunicar com seu servidor de comando e controle (C2), que é um canal e protocolo padrão para dispositivos IoT.
IDs de dispositivos únicos são embutidos nas credenciais MQTT para melhor controle.
DNS sobre HTTPS (DoH) é usado para resolver os domínios C2 enquanto evita ferramentas de monitoramento de tráfego de rede, e a configuração do malware é criptografada usando AES-256-CBC.
Os comandos que o IOCONTROL suporta são os seguintes:
- Enviar "hello": Reporta informações detalhadas do sistema (por exemplo, hostname, usuário atual, modelo do dispositivo) para o C2.
- Checar execução: Confirma se o binário do malware está instalado corretamente e pode ser executado.
- Executar comando: Executa comandos arbitrários do SO via chamadas de sistema e reporta a saída.
- Autoexcluir: Remove seus próprios binários, scripts e logs para evadir a detecção.
- Varredura de portas: Escaneia faixas de IP e portas especificadas para identificar outros alvos potenciais.
Os comandos acima são executados usando chamadas de sistema recuperadas dinamicamente da biblioteca 'libc', e as saídas são escritas em arquivos temporários para relatório.
Dado o papel dos alvos do IOCONTROL na infraestrutura crítica e a atividade contínua do grupo, o relatório do Claroty constitui um recurso valioso para os defensores ajudarem a identificar e bloquear a ameaça.
Os completos indicadores de comprometimento (IoC) estão listados no final do relatório.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...