Investigadores de Claroty’s Team82 han identificado un nuevo malware llamado IOCONTROL, diseñado específicamente para comprometer dispositivos de Internet de las Cosas (IoT) y sistemas de control y supervisión de operaciones (OT/SCADA) utilizados en infraestructuras críticas en Israel y los Estados Unidos.
Este malware, vinculado a actores de amenaza iraníes conocidos como CyberAv3ngers, es descrito como una ciberarma estatal capaz de causar interrupciones significativas y robar datos de sistemas clave.
Dispositivos y Fabricantes en Riesgo
El malware IOCONTROL está diseñado para atacar una amplia gama de dispositivos, entre ellos:
- Routers
- Controladores Lógicos Programables (PLCs)
- Interfaces Hombre-Máquina (HMIs)
- Cámaras IP
- Firewalls
- Sistemas de Gestión de Combustible
Algunos de los fabricantes afectados incluyen: D-Link, Hikvision, Phoenix Contact, Teltonika, Red Lion, Orpak y Gasboy.
Detalles Técnicos y Capacidades del Malware
El malware utiliza una configuración modular que le permite adaptarse a diversos dispositivos y arquitecturas. Entre sus características clave están:
- Persistencia:
- El malware se instala en el directorio /usr/bin/ bajo el nombre iocontrol y utiliza un script (S93InitSystemd.sh) para ejecutarse automáticamente al iniciar el sistema.
- Comunicación con el Servidor de Comando y Control (C2):
- Opera a través del protocolo MQTT en el puerto 8883, común en dispositivos IoT, para comunicarse con su C2.
- Usa DNS sobre HTTPS (DoH) para evitar detección mediante herramientas de monitoreo de tráfico.
- Cifrado Avanzado:
- Su configuración está cifrada con AES-256-CBC, asegurando que los datos intercambiados sean difíciles de interceptar.
- Comandos Soportados:
- Recopilación de Información: Envía datos del sistema (nombre del host, usuario, modelo del dispositivo) al servidor C2.
- Ejecución de Comandos: Permite ejecutar comandos arbitrarios en el sistema infectado.
- Escaneo de Puertos: Busca otros dispositivos vulnerables en la red.
- Autodestrucción: Borra sus propios archivos para evitar ser detectado.
Ataques Documentados
El malware ha sido encontrado en dispositivos de sistemas de gestión de combustible Gasboy, y los atacantes afirman haber comprometido 200 estaciones de servicio en Israel y EE.UU. a través de ataques coordinados.
- Los hackers también han llevado a cabo defacements en dispositivos Unitronics Vision PLC/HMI en plantas de tratamiento de agua.
- Estas campañas se intensificaron a mediados de 2024, reflejando una evolución constante en las técnicas de ataque.
Implicaciones para Infraestructuras Críticas
Dado el rol vital que desempeñan los dispositivos comprometidos, IOCONTROL representa una amenaza severa para la seguridad de infraestructuras críticas. Entre los posibles impactos destacan:
- Interrupción Operativa: Control de bombas de combustible y terminales de pago.
- Robo de Datos: Compromiso de información sensible en dispositivos IoT y OT.
- Expansión de Ataques: Uso de escaneos de red para identificar nuevos objetivos vulnerables.
Recomendaciones para la Mitigación
Para proteger las infraestructuras críticas, se recomienda:
- Auditoría y Actualización de Dispositivos:
- Parchear dispositivos IoT y OT con firmware actualizado.
- Segmentación de Redes:
- Asegurar que dispositivos críticos estén aislados de redes públicas.
- Monitoreo Proactivo:
- Implementar herramientas que detecten anomalías en el tráfico MQTT y DNS.
- Cifrado y Autenticación:
- Asegurar las comunicaciones internas de los dispositivos.
Conclusión
El descubrimiento de IOCONTROL subraya la creciente sofisticación de los ataques dirigidos a infraestructuras críticas. La colaboración entre gobiernos, organizaciones y la industria de la ciberseguridad es esencial para mitigar estas amenazas emergentes.
Para obtener más detalles, consulte el informe completo de Claroty, que incluye indicadores de compromiso (IoCs) y recomendaciones específicas.