Les acteurs iraniens de la menace utilisent un nouveau logiciel malveillant nommé IOCONTROL pour compromettre les appareils de l’Internet des objets (IoT) et les systèmes OT/SCADA utilisés par les infrastructures critiques en Israël et aux États-Unis.
Les périphériques ciblés comprennent les routeurs, les automates programmables (PLC), les interfaces homme-machine (IHM), les caméras IP, les pare-feu et les systèmes de gestion du carburant.
La nature modulaire du malware le rend capable de compromettre un large éventail d’appareils de divers fabricants, notamment D-Link, Hikvision, Baicells, Red Lion, Orpak, Phoenix Contact, Teltonika et Unitronics.
Les chercheurs de l’équipe de Claroty82, qui ont découvert et échantillonné IOCONTROL pour analyse, rapportent qu’il s’agit d’une cyberarme d’État-nation qui peut provoquer des perturbations importantes dans les infrastructures critiques.
Compte tenu du conflit géopolitique en cours, IOCONTROL est actuellement utilisé pour cibler les systèmes israéliens et américains, tels que les systèmes de gestion de carburant Orpak et Gasboy.
L’outil serait lié à un groupe de piratage iranien connu sous le nom de CyberAv3ngers, qui a manifesté son intérêt pour attaquer des systèmes industriels dans le passé. OpenAI a également récemment signalé que le groupe de menaces utilise ChatGPT pour déchiffrer les automates, développer des scripts d’exploitation bash et Python personnalisés et planifier son activité post-compromission.
Attaques IOCONTROL
Claroty a extrait des échantillons de logiciels malveillants d’un système de contrôle de carburant Gasboy, en particulier du terminal de paiement de l’appareil (OrPT), mais les chercheurs ne savent pas précisément comment les pirates l’ont infecté avec IOCONTROL.
À l’intérieur de ces appareils, IOCONTROL pourrait contrôler les pompes, les terminaux de paiement et d’autres systèmes périphériques, provoquant potentiellement des perturbations ou le vol de données.
Les acteurs de la menace ont affirmé avoir compromis 200 stations-service en Israël et aux États-Unis sur Telegram, ce qui correspond aux conclusions de Claroty.
Ces attaques ont eu lieu fin 2023, à peu près au même moment que la dégradation des appareils Unitronics Vision PLC/IHM dans les installations de traitement de l’eau, mais les chercheurs rapportent que de nouvelles campagnes ont vu le jour à la mi-2024.
Au 10 décembre 2024, le binaire malveillant contenant UPX n’est détecté par aucun des 66 moteurs antivirus VirusTotal.
Capacités des logiciels malveillants
Le malware, qui est stocké dans le répertoire’ /usr/bin/ ‘sous le nom’ iocontrol. »utilise une configuration modulaire pour s’adapter à différents fournisseurs et types d’appareils, ciblant un large éventail d’architectures système.
Il utilise un script de persistance (‘S93InitSystemd.sh’) pour exécuter le processus malveillant (‘iocontrol’) au démarrage du système, de sorte que le redémarrage de l’appareil ne le désactive pas.
Il utilise le protocole MQTT via le port 8883 pour communiquer avec son serveur de commande et de contrôle (C2), qui est un canal et un protocole standard pour les appareils IoT. Des identifiants de périphérique uniques sont intégrés aux informations d’identification MQTT pour un meilleur contrôle.
Le DNS sur HTTPS (DoH) est utilisé pour résoudre les domaines C2 tout en évitant les outils de surveillance du trafic réseau, et la configuration du logiciel malveillant est cryptée à l’aide d’AES-256-CBC.
Les commandes prises en charge par I O CONTROL sont les suivantes:
- Envoyer « bonjour »: Rapporte des informations système détaillées (par exemple, nom d’hôte, utilisateur actuel, modèle d’appareil) au C2.
- Vérifier exec: Confirme que le binaire du logiciel malveillant est correctement installé et exécutable.
- Exécuter la commande: Exécute des commandes OS arbitraires via des appels système et rapporte la sortie.
- Suppression automatique: Supprime ses propres binaires, scripts et journaux pour échapper à la détection.
- Analyse des ports: Analyse les plages d’adresses IP et les ports spécifiés pour identifier d’autres cibles potentielles.
Les commandes ci-dessus sont exécutées à l’aide d’appels système récupérés dynamiquement à partir de la bibliothèque ‘libc’, et les sorties sont écrites dans des fichiers temporaires pour les rapports.
Compte tenu du rôle des cibles d’IOCONTROL dans les infrastructures critiques et de l’activité continue du groupe, le rapport de Clarity constitue une ressource précieuse pour les défenseurs afin de les aider à identifier et à bloquer la menace.