Agentes de ameaças vinculados ao Irã estão associados a um novo malware sofisticado, apelidado de IOCONTROL, direcionado a ambientes de Internet das Coisas (IoT) e tecnologia operacional (OT) em Israel e nos Estados Unidos.
Malware IOCONTROL compromete dispositivos IoT e SCADA em ataques sofisticados
Desenvolvido sob medida, o IOCONTROL é uma ameaça altamente modular, capaz de comprometer dispositivos de IoT e sistemas de controle e supervisão SCADA. Entre os alvos, estão câmeras IP, roteadores, controladores lógicos programáveis (PLCs), interfaces homem-máquina (HMIs), firewalls e outras plataformas baseadas em Linux.
De acordo com a Claroty, empresa especializada em segurança cibernética para ambientes de tecnologia operacional, o IOCONTROL apresenta uma arquitetura genérica, permitindo sua execução em diferentes plataformas de diversos fabricantes. Essa versatilidade aumenta o potencial de exploração em infraestruturas críticas.
Histórico de ameaças no setor industrial
O IOCONTROL se junta a uma lista de malwares históricos que atingem Sistemas de Controle Industrial (ICS), como Stuxnet, Havex, Industroyer e PIPEDREAM. A análise inicial de uma amostra do IOCONTROL revelou sua presença em sistemas de gerenciamento de combustível da Gasboy, anteriormente explorados pelo grupo de hackers Cyber Av3ngers.
Notícias Relacionadas
Malware linux
Novo malware Pumakit atinge Linux com técnicas furtivas de rootkit
Descoberto um novo rootkit para Linux chamado Pumakit, que usa técnicas avançadas para ocultar sua presença. Com múltiplos componentes, o malware visa escalonamento de privilégios e espionagem.
Segurança cibernética
Spyware EagleMsgSpy explora dispositivos móveis desde 2017
Descoberto spyware chinês EagleMsgSpy, usado desde 2017 para vigilância avançada de dispositivos móveis, coletando dados pessoais amplos sem o conhecimento dos usuários.
Esses sistemas, usados para gerenciar terminais de pagamento e infraestrutura de combustível, foram comprometidos para desativar serviços e potencialmente roubar informações sensíveis, como dados de cartões de crédito. A possibilidade de manipular operações críticas reforça a ameaça que o malware representa.
Comunicação furtiva e funcionalidade avançada
O IOCONTROL utiliza o protocolo MQTT, amplamente empregado em dispositivos IoT, para mascarar tráfego malicioso. Além disso, os domínios de comando e controle (C2) empregam o DNS-over-HTTPS (DoH) da Cloudflare, dificultando a detecção e rastreamento das atividades maliciosas.
Uma vez conectado ao servidor C2, o malware coleta dados como nome do dispositivo, versão do firmware, localização e outros detalhes. Ele também executa comandos remotos, como varredura de portas, execução de código arbitrário e exclusão automática, reforçando seu potencial de controle remoto e movimento lateral.
Conclusão
O IOCONTROL é uma arma cibernética preocupante, com capacidades avançadas para comprometer dispositivos IoT e SCADA. Sua sofisticação e modularidade ressaltam a necessidade de medidas robustas de segurança cibernética, especialmente em ambientes industriais e infraestruturas críticas.
