Atores de ameaças afiliados ao Irã foram vinculados a um novo malware personalizado, projetado para ambientes de IoT (Internet das Coisas) e tecnologia operacional (OT), em Israel e nos Estados Unidos.
O malware recebeu o codinome IOCONTROL pela empresa de cibersegurança OT, Claroty, destacando sua capacidade de atacar dispositivos de IoT e SCADA (Supervisory Control and Data Acquisition) como câmeras IP, roteadores, controladores lógicos programáveis (PLCs), interfaces homem-máquina (HMIs), firewalls e outras plataformas IoT/OT baseadas em Linux.
"Embora acredite-se que o malware tenha sido desenvolvido sob medida pelo ator de ameaça, aparentemente, o malware é genérico o suficiente para ser executado em uma variedade de plataformas de diferentes fornecedores devido à sua configuração modular," disse a empresa.
O desenvolvimento torna o IOCONTROL a décima família de malware a mirar especificamente em Sistemas de Controle Industrial (ICS) após Stuxnet, Havex, Industroyer (também conhecido como CrashOverride), Triton (também conhecido como Trisis), BlackEnergy2, Industroyer2, PIPEDREAM (também conhecido como INCONTROLLER), COSMICENERGY, e FrostyGoop (também conhecido como BUSTLEBERM) até o momento.
A Claroty afirmou que analisou uma amostra de malware extraída de um sistema de gerenciamento de combustível Gasboy, que havia sido previamente comprometido pelo grupo de hackers chamado Cyber Av3ngers, que foi vinculado a ataques cibernéticos explorando PLCs da Unitronics para violar sistemas de água.
O malware estava embutido no Terminal de Pagamento da Gasboy, também chamado de OrPT.
Isso também significa que os atores de ameaça, dado que eles tinham a capacidade de controlar o terminal de pagamento, também tinham os meios para interromper os serviços de combustível e potencialmente roubar informações de cartões de crédito dos clientes.
"O malware é essencialmente uma arma cibernética usada por um estado-nação para atacar a infraestrutura crítica civil; pelo menos uma das vítimas foram os sistemas de gerenciamento de combustível Orpak e Gasboy," disse a Claroty.
O objetivo final da cadeia de infecção é implantar uma backdoor que é automaticamente executada toda vez que o dispositivo reinicia.
Um aspecto notável do IOCONTROL é seu uso do MQTT, um protocolo de mensagens amplamente utilizado em dispositivos IoT, para comunicações, permitindo assim que os atores de ameaça disfarcem o tráfego malicioso.
Além disso, domínios de comando e controle (C2) são resolvidos usando o serviço DNS-sobre-HTTPS (DoH) da Cloudflare.
Esta abordagem, já adotada por grupos de nações-estado chineses e russos, é significativa, pois permite que o malware evite a detecção ao enviar solicitações DNS em texto claro.
Uma vez estabelecida uma conexão C2 bem-sucedida, o malware transmite informações sobre o dispositivo, especificamente hostname, usuário atual, nome e modelo do dispositivo, fuso horário, versão do firmware e localização, para o servidor, após o qual aguarda mais comandos para execução.
Isso inclui verificações para garantir que o malware esteja instalado no diretório designado, executar comandos arbitrários do sistema operacional, terminar o malware e escanear uma faixa de IP em uma porta específica.
"O malware comunica-se com um C2 por meio de um canal seguro MQTT e suporta comandos básicos incluindo execução de código arbitrário, autoexclusão, varredura de porta e mais," disse a Claroty.
Esta funcionalidade é suficiente para controlar dispositivos IoT remotos e realizar movimentação lateral, se necessário.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...