Nuevo Malware IOCONTROL Dirigido a Infraestructuras Críticas

Investigadores de Claroty’s Team82 han identificado un nuevo malware llamado IOCONTROL, diseñado específicamente para comprometer dispositivos de Internet de las Cosas (IoT) y sistemas de control y supervisión de operaciones (OT/SCADA) utilizados en infraestructuras críticas en Israel y los Estados Unidos.

Este malware, vinculado a actores de amenaza iraníes conocidos como CyberAv3ngers, es descrito como una ciberarma estatal capaz de causar interrupciones significativas y robar datos de sistemas clave.

Dispositivos y Fabricantes en Riesgo

El malware IOCONTROL está diseñado para atacar una amplia gama de dispositivos, entre ellos:

  • Routers
  • Controladores Lógicos Programables (PLCs)
  • Interfaces Hombre-Máquina (HMIs)
  • Cámaras IP
  • Firewalls
  • Sistemas de Gestión de Combustible

Algunos de los fabricantes afectados incluyen: D-Link, Hikvision, Phoenix Contact, Teltonika, Red Lion, Orpak y Gasboy.

Detalles Técnicos y Capacidades del Malware

El malware utiliza una configuración modular que le permite adaptarse a diversos dispositivos y arquitecturas. Entre sus características clave están:

  1. Persistencia:
    • El malware se instala en el directorio /usr/bin/ bajo el nombre iocontrol y utiliza un script (S93InitSystemd.sh) para ejecutarse automáticamente al iniciar el sistema.
  2. Comunicación con el Servidor de Comando y Control (C2):
    • Opera a través del protocolo MQTT en el puerto 8883, común en dispositivos IoT, para comunicarse con su C2.
    • Usa DNS sobre HTTPS (DoH) para evitar detección mediante herramientas de monitoreo de tráfico.
  3. Cifrado Avanzado:
    • Su configuración está cifrada con AES-256-CBC, asegurando que los datos intercambiados sean difíciles de interceptar.
  4. Comandos Soportados:
    • Recopilación de Información: Envía datos del sistema (nombre del host, usuario, modelo del dispositivo) al servidor C2.
    • Ejecución de Comandos: Permite ejecutar comandos arbitrarios en el sistema infectado.
    • Escaneo de Puertos: Busca otros dispositivos vulnerables en la red.
    • Autodestrucción: Borra sus propios archivos para evitar ser detectado.
Ataques Documentados

El malware ha sido encontrado en dispositivos de sistemas de gestión de combustible Gasboy, y los atacantes afirman haber comprometido 200 estaciones de servicio en Israel y EE.UU. a través de ataques coordinados.

  • Los hackers también han llevado a cabo defacements en dispositivos Unitronics Vision PLC/HMI en plantas de tratamiento de agua.
  • Estas campañas se intensificaron a mediados de 2024, reflejando una evolución constante en las técnicas de ataque.
Implicaciones para Infraestructuras Críticas

Dado el rol vital que desempeñan los dispositivos comprometidos, IOCONTROL representa una amenaza severa para la seguridad de infraestructuras críticas. Entre los posibles impactos destacan:

  • Interrupción Operativa: Control de bombas de combustible y terminales de pago.
  • Robo de Datos: Compromiso de información sensible en dispositivos IoT y OT.
  • Expansión de Ataques: Uso de escaneos de red para identificar nuevos objetivos vulnerables.
Recomendaciones para la Mitigación

Para proteger las infraestructuras críticas, se recomienda:

  1. Auditoría y Actualización de Dispositivos:
    • Parchear dispositivos IoT y OT con firmware actualizado.
  2. Segmentación de Redes:
    • Asegurar que dispositivos críticos estén aislados de redes públicas.
  3. Monitoreo Proactivo:
    • Implementar herramientas que detecten anomalías en el tráfico MQTT y DNS.
  4. Cifrado y Autenticación:
    • Asegurar las comunicaciones internas de los dispositivos.
Conclusión

El descubrimiento de IOCONTROL subraya la creciente sofisticación de los ataques dirigidos a infraestructuras críticas. La colaboración entre gobiernos, organizaciones y la industria de la ciberseguridad es esencial para mitigar estas amenazas emergentes.

Para obtener más detalles, consulte el informe completo de Claroty, que incluye indicadores de compromiso (IoCs) y recomendaciones específicas.

Related Posts
Clear Filters

Más de 4,000 Backdoors web abandonados pero activos fueron secuestrados, y su infraestructura de comunicación fue hundida digitalmente después de…

La empresa multinacional de telecomunicaciones Telefónica ha confirmado que su sistema interno de gestión de tickets fue vulnerado, lo que…

Devel Group
Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.