Experten des Team82 haben eine gegen kritische Infrastruktur gerichtete Malware identifiziert. Die Cyberwaffe IOCONTROL stammt laut den Experten wahrscheinlich von iranischen staatlich unterstützten Angreifern. Der Angriff der IoT/OT-Malware zielt auf Geräte und Firewalls.
Die Sicherheitsforscher von Team82, der Forschungsabteilung von Claroty, haben eine speziell entwickelte IoT/OT-Malware identifiziert, die gegen Geräte wie IP-Kameras, Router, SPS, HMIs und Firewalls von verschiedenen Herstellern, u.a. Baicells, D-Link, Hikvision, Red Lion, Orpak, Phoenix Contact und Teltonika gerichtet ist. Die Forscher stufen die Schadsoftware IOCONTROL als Cyberwaffe ein, die wahrscheinlich von der iranischen Hacker-Gruppe CyberAv3ngers entwickelt wurde und zum Angriff auf kritische zivile Infrastrukturen vornehmlich in den USA und Israel eingesetzt wird.
IOCONTROL – globale Cyber-Operation gegen den Westen
Die Sicherheitsforscher gehen davon aus, dass IOCONTROL Teil einer globalen Cyber-Operation gegen westliche IoT- und Betriebstechnologie-Geräte (OT) ist. Zu den betroffenen Geräten gehören Router, speicherprogrammierbare Steuerungen (SPS), Mensch-Maschine-Schnittstellen (HMI), Firewalls und andere Linux-basierte IoT/OT-Plattformen. Die Malware wurde wahrscheinlich von den Angreifern eigens für spezifische Ziele entwickelt, ist aber offenbar so generisch, dass sie aufgrund ihrer modularen Konfiguration auf einer Vielzahl von Plattformen verschiedener Hersteller ausgeführt werden kann.
Team82 hat eine von VirusTotal zur Verfügung gestellte Malware-Probe analysiert. Diese wurde aus einem kompromittierten Kraftstoffmanagementsystem extrahiert. Eine IOCONTROL-Angriffswelle betraf die mehrere hundert Orpak-Systeme und Gasboy-Kraftstoffmanagementsysteme in Israel und den Vereinigten Staaten.
Speziell für IoT-Geräte entwickelt
Die Malware ist zwar im Wesentlichen speziell für IoT-Geräte entwickelt worden, hat aber auch direkte Auswirkungen auf OT-Geräte wie die in Tankstellen häufig verwendeten Kraftstoffpumpen. Die Angriffe sind wohl eine weitere Ausweitung des geopolitischen Konflikts zwischen Israel und dem Iran. Die sogenannten CyberAv3ngers gehören vermutlich zum Cyber Electronic Command des Korps der Islamischen Revolutionsgarden (IRGC-CEC) und haben sich über Telegram geäußert, indem sie Screenshots und andere Informationen über die Kompromittierung dieser Kraftstoffsysteme veröffentlichten.
Die Analyse zeigt, dass die IOCONTROL-Malware auf einem generischen OT/IoT-Malware-Framework für eingebettete Linux-basierte Geräte basiert, das je nach Bedarf gegen bestimmte Ziele eingesetzt und kompiliert wird. Die Malware kommuniziert mit einem C2 über einen sicheren MQTT-Kanal und unterstützt grundlegende Befehle wie die Ausführung von beliebigem Code, Selbstlöschung, Port-Scan und mehr. Diese Funktionalität reicht aus, um entfernte IoT-Geräte zu kontrollieren und bei Bedarf laterale Bewegungen durchzuführen.
Darüber hinaus verfügt IOCONTROL über einen grundlegenden Persistenzmechanismus mittels Daemon-Installation und einen Stealth-Mechanismus. So verwendet nutzt die Malware beispielsweise DNS über HTTPS (DOH), um ihre C2-Infrastruktur so weit wie möglich zu verbergen.
Mehr bei Claroty.com
Über Claroty Claroty, die Industrial Cybersecurity Company, hilft ihren weltweiten Kunden, ihre OT-, IoT- und IIoT-Anlagen zu erkennen, zu schützen und zu verwalten. Die umfassende Plattform des Unternehmens lässt sich nahtlos in die bestehende Infrastruktur und Prozesse der Kunden einbinden und bietet eine breite Palette an industriellen Cybersicherheitskontrollen für Transparenz, Bedrohungserkennung, Risiko- und Schwachstellenmanagement sowie sicheren Fernzugriff – bei deutlich reduzierten Gesamtbetriebskosten.
Passende Artikel zum Thema