Aan Iran gelieerde bedreigingsactoren zijn in verband gebracht met nieuwe aangepaste malware die is gericht op IoT- en operationele technologie (OT)-omgevingen in Israël en de Verenigde Staten.
De malware heeft de codenaam IOCONTROL door OT-cyberbeveiligingsbedrijf Claroty, waarbij het vermogen wordt benadrukt om IoT- en SCADA-apparaten (Supervisory Control and Data Acquisition), zoals IP-camera’s, routers, Programmable Logic Controllers (PLC’s), mens-machine-interfaces (HMI’s), firewalls en andere Linux-apparaten, aan te vallen. gebaseerde IoT/OT-platforms.
“Hoewel wordt aangenomen dat de malware op maat is gemaakt door de bedreigingsactoren, lijkt het erop dat de malware generiek genoeg is om op verschillende platforms van verschillende leveranciers te kunnen draaien vanwege de modulaire configuratie”, aldus het bedrijf.
Deze ontwikkeling maakt van IOCONTROL de tiende malwarefamilie die specifiek Industrial Control Systems (ICS) onderscheidt, na Stuxnet, Havex, Industroyer (ook bekend als CrashOverride), Triton (ook bekend als Trisis), BlackEnergy2, Industroyer2, PIPEDREAM (ook bekend als INCONTROLLER), COSMICENERGY en FrostyGoop ( ook bekend als BUSTLEBERM) tot nu toe.
Claroty zei dat het een malwaremonster heeft geanalyseerd dat is geëxtraheerd uit een Gasboy-brandstofbeheersysteem dat eerder was gecompromitteerd door de hackgroep Cyber Av3ngers, die in verband is gebracht met cyberaanvallen waarbij Unitronics PLC’s worden misbruikt om watersystemen te doorbreken. De malware was ingebed in de betaalterminal van Gasboy, ook wel OrPT genoemd.
Dit betekent ook dat de dreigingsactoren, gezien hun vermogen om de betaalterminal te controleren, ook over de middelen beschikten om de tankdiensten af te sluiten en mogelijk creditcardgegevens van klanten te stelen.
“De malware is in wezen een cyberwapen dat door een natiestaat wordt gebruikt om civiele kritieke infrastructuur aan te vallen; minstens één van de slachtoffers waren de brandstofbeheersystemen van Orpak en Gasboy”, zei Claroty.
Het einddoel van de infectieketen is het inzetten van een achterdeur die automatisch wordt uitgevoerd telkens wanneer het apparaat opnieuw opstart. Een opmerkelijk aspect van IOCONTROL is het gebruik van MQTT, een berichtenprotocol dat veel wordt gebruikt in IoT-apparaten, voor communicatie, waardoor de dreigingsactoren kwaadaardig verkeer kunnen verhullen.
Bovendien worden command-and-control (C2)-domeinen opgelost met behulp van de DNS-over-HTTPS (DoH)-service van Cloudflare. Deze aanpak, die al door Chinese en Russische natiestatengroepen is toegepast, is aanzienlijk, omdat de malware hierdoor detectie kan omzeilen bij het verzenden van DNS-verzoeken in leesbare tekst.
Zodra een succesvolle C2-verbinding tot stand is gebracht, verzendt de malware informatie over het apparaat, namelijk hostnaam, huidige gebruiker, apparaatnaam en -model, tijdzone, firmwareversie en locatie, naar de server, nadat deze op verdere opdrachten wacht voor uitvoering.
Dit omvat controles om ervoor te zorgen dat de malware in de aangewezen map wordt geïnstalleerd, willekeurige opdrachten van het besturingssysteem uit te voeren, de malware te beëindigen en een IP-bereik in een specifieke poort te scannen.
“De malware communiceert met een C2 via een beveiligd MQTT-kanaal en ondersteunt basisopdrachten, waaronder het uitvoeren van willekeurige code, zelfverwijdering, poortscan en meer”, aldus Claroty. “Deze functionaliteit is voldoende om IoT-apparaten op afstand te bedienen en indien nodig zijdelingse bewegingen uit te voeren.”