CPS: Neue Malware IOCONTROL zielt auf KRITIS

B2B Cyber Security ShortNews

Beitrag teilen

Experten des Team82 haben eine gegen kritische Infrastruktur gerichtete Malware identifiziert. Die Cyberwaffe IOCONTROL stammt laut den Experten wahrscheinlich von iranischen staatlich unterstützten Angreifern. Der Angriff der IoT/OT-Malware zielt auf Geräte und Firewalls. 

Die Sicherheitsforscher von Team82, der Forschungsabteilung von Claroty, haben eine speziell entwickelte IoT/OT-Malware identifiziert, die gegen Geräte wie IP-Kameras, Router, SPS, HMIs und Firewalls von verschiedenen Herstellern, u.a. Baicells, D-Link, Hikvision, Red Lion, Orpak, Phoenix Contact und Teltonika gerichtet ist. Die Forscher stufen die Schadsoftware IOCONTROL als Cyberwaffe ein, die wahrscheinlich von der iranischen Hacker-Gruppe CyberAv3ngers entwickelt wurde und zum Angriff auf kritische zivile Infrastrukturen vornehmlich in den USA und Israel eingesetzt wird.

Anzeige

IOCONTROL – globale Cyber-Operation gegen den Westen

Die Sicherheitsforscher gehen davon aus, dass IOCONTROL Teil einer globalen Cyber-Operation gegen westliche IoT- und Betriebstechnologie-Geräte (OT) ist. Zu den betroffenen Geräten gehören Router, speicherprogrammierbare Steuerungen (SPS), Mensch-Maschine-Schnittstellen (HMI), Firewalls und andere Linux-basierte IoT/OT-Plattformen. Die Malware wurde wahrscheinlich von den Angreifern eigens für spezifische Ziele entwickelt, ist aber offenbar so generisch, dass sie aufgrund ihrer modularen Konfiguration auf einer Vielzahl von Plattformen verschiedener Hersteller ausgeführt werden kann.

Team82 hat eine von VirusTotal zur Verfügung gestellte Malware-Probe analysiert. Diese wurde aus einem kompromittierten Kraftstoffmanagementsystem extrahiert. Eine IOCONTROL-Angriffswelle betraf die mehrere hundert Orpak-Systeme und Gasboy-Kraftstoffmanagementsysteme in Israel und den Vereinigten Staaten.

Speziell für IoT-Geräte entwickelt

Die Malware ist zwar im Wesentlichen speziell für IoT-Geräte entwickelt worden, hat aber auch direkte Auswirkungen auf OT-Geräte wie die in Tankstellen häufig verwendeten Kraftstoffpumpen. Die Angriffe sind wohl eine weitere Ausweitung des geopolitischen Konflikts zwischen Israel und dem Iran. Die sogenannten CyberAv3ngers gehören vermutlich zum Cyber Electronic Command des Korps der Islamischen Revolutionsgarden (IRGC-CEC) und haben sich über Telegram geäußert, indem sie Screenshots und andere Informationen über die Kompromittierung dieser Kraftstoffsysteme veröffentlichten.

Die Analyse zeigt, dass die IOCONTROL-Malware auf einem generischen OT/IoT-Malware-Framework für eingebettete Linux-basierte Geräte basiert, das je nach Bedarf gegen bestimmte Ziele eingesetzt und kompiliert wird. Die Malware kommuniziert mit einem C2 über einen sicheren MQTT-Kanal und unterstützt grundlegende Befehle wie die Ausführung von beliebigem Code, Selbstlöschung, Port-Scan und mehr. Diese Funktionalität reicht aus, um entfernte IoT-Geräte zu kontrollieren und bei Bedarf laterale Bewegungen durchzuführen.

Darüber hinaus verfügt IOCONTROL über einen grundlegenden Persistenzmechanismus mittels Daemon-Installation und einen Stealth-Mechanismus. So verwendet nutzt die Malware beispielsweise DNS über HTTPS (DOH), um ihre C2-Infrastruktur so weit wie möglich zu verbergen.

Mehr bei Claroty.com

 


Über Claroty

Claroty, die Industrial Cybersecurity Company, hilft ihren weltweiten Kunden, ihre OT-, IoT- und IIoT-Anlagen zu erkennen, zu schützen und zu verwalten. Die umfassende Plattform des Unternehmens lässt sich nahtlos in die bestehende Infrastruktur und Prozesse der Kunden einbinden und bietet eine breite Palette an industriellen Cybersicherheitskontrollen für Transparenz, Bedrohungserkennung, Risiko- und Schwachstellenmanagement sowie sicheren Fernzugriff – bei deutlich reduzierten Gesamtbetriebskosten.


 

Passende Artikel zum Thema

Bedeutung der Datenverschlüsselung durch NIS2, Dora & Co

Datenverschlüsselung ist gerade besonders aktuell unter anderem durch die Geschäftsführerhaftung, NIS2, DORA und das Geschäftsgeheimnis-Schutzgesetz (GeschGehG). Das Whitepaper „Die Bedeutung ➡ Weiterlesen

Darknet: 15.000 Konfigurationsdateien für FortiGate-Firewalls

In einem Darknet-Forum hat die Hackergruppe "Belsen Group" über 15.000 einzigartige Konfigurationsdateien von FortiGate-Firewalls veröffentlicht. Obwohl die Daten relativ alt ➡ Weiterlesen

Verschlüsselte Angriffe nehmen zu

Ein Anbieter von Cloud-Sicherheit veröffentlicht mit dem ThreatLabz 2024 Encrypted Attacks Report eine Analyse der neuesten Bedrohungen. Verschlüsselter Datenverkehr entwickelte ➡ Weiterlesen

Gefahr: Infektion via Outlook ohne Dateiöffnung

Auch das BSI warnt: Durch eine kritische Schwachstelle ist es möglich, dass eine via Outlook empfangene E-Mail mit einem gefährlichen ➡ Weiterlesen

Cyberbedrohungen: Schädliche Dateien um 14 Prozent gestiegen

Auf 2024 zurückblickend, zeigt sich Folgendes: Vor allem Windows-Rechner sind das Ziel von Cyberbedrohungen. Angriffe durch Trojaner stiegen um 33 ➡ Weiterlesen

Hacker sehen KI als neuen Angriffsvektor

Eine neue Umfrage unter Hackern zeigt, dass KI nicht nur Hackern hilft, effizienter zu werden, sondern dass KI selbst „reif ➡ Weiterlesen

KI-gestützte Angriffe: Unternehmen sind ungeschützt

Eine aktuelle Studie hat ergeben, dass 40 Prozent der Unternehmen, die aktuell von KI-gestützten Angriffen betroffen sind, sich nicht ausreichend ➡ Weiterlesen

ePA – Elektronische Patientenakte mit Sicherheitslücken?

Am 15. Januar startete die Testphase der ePA - der elektronischen Patientenakte trotz vorliegender Berichte über mögliche Sicherheitslücken. Es ist ➡ Weiterlesen