IOCONTROL, un nuevo malware para la ciberguerra

  • Actualidad
ciberespacio global

El nuevo malware, identificado en el pasado mes de diciembre, se dirige a entornos IoT y OT en entornos industriales y ha sido utilizado por grupos de ciberdelincuentes vinculados a Irán para infectar infraestructuras críticas civiles, particularmente de Israel y Estados Unidos.

Claroty, a través de su equipo de investigación Team82, ha identificado IOCONTROL, al que describe como “un malware IoT/OT personalizado que han utilizado los ciberdelincuentes vinculados a Irán para infectar dispositivos OT/IoT de Israel y Estados Unidos”. Un elemento más de la más o menos soterrada ciberguerra que acompaña los principales conflictos internacionales.

La compañía ha analizado la muestra que obtuvo de VirusTotal y explica que el malware utiliza el protocolo MQTT, que le permite establecer una comunicación segura entre los dispositivos infectados y los atacantes y con el que lograron disfrazar el tráfico malicioso. Una de las campañas de IOCONTROL logró impactar en cientos de sistemas de combustible de Orpak Systems, israelí, y de Gasboy, estadounidense.

Claroty considera que este malware es un elemento más de “una operación cibernética global contra dispositivos occidentales”, entre los que incluye dispositivos IoT, OT, SCADA, incluyendo cámaras IP, routers, PLC, HMI, firewalls, etc. Además de las compañías mencionadas, en esta vasta operación se han visto afectados proveedores como Baicells, D-Link, Hikvision, Red Lion, Orpak, Phoenix Contact, Teltonika y Unitronics.

Pese a que la compañía no atribuye los ataques con IOCONTROL específicamente al grupo CyberAv3ngers, explica que se consideran vinculados al Mando Cibernético Electrónico del Cuerpo de la Guardia Revolucionaria Islámica. Al parecer, ya en octubre de 2023 atacaron “dispositivos PLC/HMI integrados de la serie Vision de Unitronics de las instalaciones de tratamiento de agua en Estados Unidos e Israel”. El nuevo malware parece un paso más en ese proceso.