Recentemente, un gruppo di attori di minacce affiliato all'Iran è stato collegato a un nuovo malware personalizzato finalizzato a colpire ambienti IoT e tecnologia operativa (OT) negli Stati Uniti e in Israele. Denominato IOCONTROL, questo malware è stato scoperto dall'azienda di cybersecurity OT Claroty, evidenziando la sua capacità di attaccare dispositivi IoT e SCADA come telecamere IP, router, PLC, interfacce uomo-macchina, firewall e altre piattaforme IoT/OT basate su Linux. Claroty sottolinea che, sebbene il malware sembri essere costruito su misura dall'attore della minaccia, la sua configurazione modulare gli consente di operare su una varietà di piattaforme di diversi fornitori.

IOCONTROL e i sistemi di controllo industriale

IOCONTROL rappresenta il decimo malware specificamente mirato ai sistemi di controllo industriale (ICS), seguendo noti predecessori come Stuxnet, Havex, Industroyer e altri. L'analisi di Claroty si è concentrata su un campione di malware estratto da un sistema di gestione del carburante Gasboy, in precedenza compromesso dal gruppo di hacker Cyber Av3ngers. Questo malware è stato trovato all'interno del terminale di pagamento Gasboy, noto anche come OrPT, con implicazioni significative: i malintenzionati potevano potenzialmente interrompere i servizi di carburante o rubare informazioni sulle carte di credito dei clienti.

Caratteristiche tecniche di IOCONTROL

Un aspetto critico di IOCONTROL è il suo utilizzo del protocollo di messaggistica MQTT, comunemente utilizzato nei dispositivi IoT, per le comunicazioni. Questo metodo permette agli attori della minaccia di mascherare il traffico dannoso, rendendo più difficile il rilevamento da parte dei sistemi di sicurezza. Inoltre, i domini di comando e controllo (C2) vengono risolti utilizzando il servizio DNS-over-HTTPS (DoH) di Cloudflare, una tattica già adottata dai gruppi statali cinesi e russi. Ciò permette al malware di evitare il rilevamento durante l'invio di richieste DNS in chiaro.

Una volta stabilita una connessione C2 di successo, il malware trasmette informazioni sul dispositivo, come il nome host, l'utente corrente, il nome e il modello del dispositivo, il fuso orario, la versione del firmware e la posizione al server, attendendo ulteriori comandi per l'esecuzione. Le funzioni includono il controllo dell'installazione del malware nella directory designata, l'esecuzione di comandi del sistema operativo arbitrari, la terminazione del malware e la scansione di un intervallo IP in una porta specifica.

In sintesi, IOCONTROL comunica con un C2 tramite un canale MQTT sicuro e supporta comandi basilari, tra cui l'esecuzione di codice arbitrario, l'auto-eliminazione e la scansione delle porte, offrendo un controllo sufficiente per gestire dispositivi IoT remoti ed effettuare movimenti laterali se necessario.