Team82 ha obtenido una muestra de IOCONTROL un malware IoT/OT personalizado que han utilizado los ciberdelincuentes vinculados a Irán para infectar dispositivos OT/IoT de Israel y Estados Unidos.
Team82, el equipo de investigación de Claroty, ha realizado un análisis de la muestra que se obtuvo de VirusTotal. 21 detecciones el 10 de diciembre de 2024, tras un periodo de tiempo en el que todavía había cero detecciones en septiembre de 2024. Concluyó que el malware es esencialmente un arma cibernética utilizada por un Estado-nación para atacar infraestructuras críticas civiles. Al menos una de las víctimas fueron los sistemas de gestión de combustible Orpak y Gasboy. IOCONTROL utiliza el protocolo MQTT para mantener la comunicación segura entre los dispositivos comprometidos y los atacantes. Los ciberdelincuentes fueron capaces de disfrazar el tráfico a través de MQTT en ambas direcciones desde su infraestructura de mando y control.
Índice de temas
Malware IOCONTROL, futuras amenazas
El ataque IOCONTROL forma parte de una operación cibernética global contra dispositivos occidentales de IoT y tecnología operativa (OT) y SCADA/OT. Esto incluye cámaras IP, routers, PLC, HMI, firewalls, entre otros. Algunos de los proveedores afectados son: Baicells, D-Link, Hikvision, Red Lion, Orpak, Phoenix Contact, Teltonika y Unitronics.
Team82 analizó una muestra de malware extraída de un módulo de gestión de combustible supuestamente comprometido por un grupo vinculado a Irán conocido como CyberAv3ngers. Además se le atribuye el impacto a Unitronics del pasado otoño.
El malware se ha creado esencialmente a medida para dispositivos IoT
Una de las oleadas de amenazas de IOCONTROL afectó a varios cientos de sistemas de gestión de combustible Orpak Systems, de fabricación israelí. También afectó a Gasboy, de fabricación estadounidense, en Israel y Estados Unidos. El malware se ha creado esencialmente a medida para dispositivos IoT, pero también tiene un impacto directo en OT, como los surtidores de combustible de las gasolineras.
CyberAv3ngers forman parte del Mando Cibernético Electrónico del Cuerpo de la Guardia Revolucionaria Islámica (IRGC-CEC)
Los ataques son otra extensión del conflicto geopolítico entre Israel e Irán. Se cree que los llamados CyberAv3ngers forman parte del Mando Cibernético Electrónico del Cuerpo de la Guardia Revolucionaria Islámica (IRGC-CEC) y que se han comunicado a través de Telegram compartiendo capturas de pantalla y otra información sobre las amenazas a estos sistemas de combustible.
En febrero, el Departamento del Tesoro de Estados Unidos anunció sanciones contra seis funcionarios del IRGC-CEC vinculados a los CyberAv3ngers y ofreció una recompensa de 10 millones de dólares por información que condujera a la identificación o localización de cualquier persona implicada en los ataques.
Los CyberAv3ngers, por su parte, han declarado implícitamente que seguirán atacando la tecnología de infraestructuras crítica fabricada en Israel. En octubre de 2023, el grupo atacó dispositivos PLC/HMI integrados de la serie Vision de Unitronics de las instalaciones de tratamiento de agua en Estados Unidos e Israel, provocando la desfiguración de estos dispositivos OT.
