Dispositivi IoT e OT a rischio per il malware IOCONTROL

È stato usato in attività contro obiettivi statunitensi e israeliani il malware per dispositivi IoT e OT che si distingue per flessibilità ed efficacia.

Autore: Redazione SecurityOpenLab

La vulnerabilità dei dispositivi IoT è un problema noto da tempo tanto ai difensori quanto agli attaccanti, che trovano continuamente nuovi modi per approfittare della carenza di difese. Un esempio lampante è IOCONTROL, un malware progettato per colpire dispositivi IoT e OT scoperto dai ricercatori di Claroty e creato per compromettere dispositivi come router, controllori logici programmabili (PLC), interfacce uomo-macchina (HMI), firewall e altre piattaforme basate su Linux. Gli esperti evidenziano che la sua natura modulare gli permette di operare su una vasta gamma di dispositivi di diversi produttori, tra cui Baicells, D-Link, Hikvision, Red Lion, Orpak, Phoenix Contact, Teltonika e Unitronics.

IOCONTROL viene descritto come una minaccia significativa per le infrastrutture critiche civili, in quanto è stato utilizzato in attacchi globali attribuiti a gruppi APT legati all'Iran, e in particolare a CyberAv3ngers, ritenuto parte del Corpo delle Guardie della Rivoluzione Islamica (IRGC). Le attività finora documentate hanno preso di mira sistemi di gestione del carburante, come quelli prodotti da Orpak e Gasboy, e dispositivi PLC/HMI in impianti di trattamento delle acque negli Stati Uniti e in Israele, ottenendo un impatto diretto su dispositivi OT come le pompe di carburante, oltre a mettere in pericolo la sicurezza pubblica e l'integrità delle infrastrutture critiche.

In risposta a queste attività, il Dipartimento del Tesoro degli Stati Uniti ha imposto sanzioni a sei funzionari dell'IRGC-CEC collegati ai CyberAv3ngers e ha offerto una ricompensa di 10 milioni di dollari per informazioni che portino all'identificazione o alla localizzazione dei responsabili degli attacchi.

Fonte: ClarotyDal punto di vista tecnico, IOCONTROL utilizza il protocollo MQTT per stabilire un canale di comunicazione dedicato tra i dispositivi compromessi e l'infrastruttura di comando e controllo degli attaccanti. MQTT è un protocollo di messaggistica leggero, comunemente impiegato in ambienti IoT per la sua efficienza e basso consumo di larghezza di banda. Gli attaccanti lo sfruttano per mascherare il traffico malevolo e passare indenni ai controllo delle comunicazioni illecite.

L'analisi del malware ha rivelato che, nonostante sia stato sviluppato su misura, beneficia di una configurazione modulare che gli permette di operare su un’ampia varietà di piattaforme e dispositivi, aumentando di fatto la superficie di attacco.

La scoperta di IOCONTROL sottolinea l'importanza di implementare misure di sicurezza mirate per i dispositivi IoT e OT, in particolare quelli impiegati in infrastrutture critiche, fra cui l'aggiornamento periodico dei dispositivi, il monitoraggio continuo del traffico di rete e l'implementazione di soluzioni di rilevamento delle intrusioni per identificare e mitigare tempestivamente minacce emergenti.


Visualizza la versione completa sul sito

Informativa
Questo sito o gli strumenti terzi da questo utilizzati si avvalgono di cookie necessari al funzionamento ed utili alle finalità illustrate nella cookie policy. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, consulta la cookie policy. Chiudendo questo banner, acconsenti all’uso dei cookie.