Claroty descubre una nueva ciberarma de OT/IoT: IOCONTROL

Madrid, 13 de enero de 2025.- Team82, el equipo de investigación de Claroty, empresa de protección de sistemas de ciberseguridad conectados (OT, XIoT, IoMT e IT), ha obtenido una muestra de IOCONTROL un malware IoT/OT personalizado que han utilizado los ciberdelincuentes vinculados a Irán para infectar dispositivos OT/IoT de Israel y Estados Unidos. 

IOCONTROL es un arma cibernética utilizada por un Estado-nación para vulnerar infraestructuras críticas civiles

Team82 ha realizado un análisis de la muestra que se obtuvo de VirusTotal (21 detecciones el 10 de diciembre de 2024, tras un periodo de tiempo en el que todavía había cero detecciones en septiembre de 2024) que concluyó que el malware es esencialmente un arma cibernética utilizada por un Estado-nación para atacar infraestructuras críticas civiles; al menos una de las víctimas fueron los sistemas de gestión de combustible Orpak y Gasboy. IOCONTROL utiliza el protocolo MQTT para mantener la comunicación segura entre los dispositivos comprometidos y los atacantes. Los ciberdelincuentes fueron capaces de disfrazar el tráfico a través de MQTT en ambas direcciones desde su infraestructura de mando y control.

El ataque IOCONTROL forma parte de una operación cibernética global contra dispositivos occidentales de IoT y tecnología operativa (OT) y SCADA/OT de varios tipos, incluidas cámaras IP, routers, PLC, HMI, firewalls, entre otros. Algunos de los proveedores afectados son: Baicells, D-Link, Hikvision, Red Lion, Orpak, Phoenix Contact, Teltonika y Unitronics, entre otros. 

Team82 analizó una muestra de malware extraída de un módulo de gestión de combustible supuestamente comprometido por un grupo vinculado a Irán conocido como CyberAv3ngers, al que también se atribuye el impacto a Unitronics del pasado otoño. 

Una de las oleadas de amenazas de IOCONTROL afectó a varios cientos de sistemas de gestión de combustible Orpak Systems, de fabricación israelí, y Gasboy, de fabricación estadounidense, en Israel y Estados Unidos. El malware se ha creado esencialmente a medida para dispositivos IoT, pero también tiene un impacto directo en OT, como los surtidores de combustible de las gasolineras. 

CyberAv3ngers forman parte del Mando Cibernético Electrónico del Cuerpo de la Guardia Revolucionaria Islámica (IRGC-CEC)

Los ataques son otra extensión del conflicto geopolítico entre Israel e Irán. Se cree que los llamados CyberAv3ngers forman parte del Mando Cibernético Electrónico del Cuerpo de la Guardia Revolucionaria Islámica (IRGC-CEC) y que se han comunicado a través de Telegram compartiendo capturas de pantalla y otra información sobre las amenazas a estos sistemas de combustible.

En febrero, el Departamento del Tesoro de Estados Unidos anunció sanciones contra seis funcionarios del IRGC-CEC vinculados a los CyberAv3ngers y ofreció una recompensa de 10 millones de dólares por información que condujera a la identificación o localización de cualquier persona implicada en los ataques. 

Los CyberAv3ngers, por su parte, han declarado implícitamente que seguirán atacando la tecnología de infraestructuras crítica fabricada en Israel. En octubre de 2023, el grupo atacó dispositivos PLC/HMI integrados de la serie Vision de Unitronics de las instalaciones de tratamiento de agua en Estados Unidos e Israel, provocando la desfiguración de estos dispositivos OT. 

Sobre Claroty

Claroty ayuda a las organizaciones a proteger su Internet de las Cosas Extendido (XIoT), una vasta red de sistemas ciberfísicos en entornos industriales, sanitarios y comerciales. La plataforma de protección de sistemas ciberfísicos de la empresa se integra con la infraestructura existente de los clientes para proporcionar una gama completa de controles de visibilidad, gestión de riesgos y vulnerabilidades, segmentación de redes, detección de amenazas y acceso remoto seguro. Respaldada por las mayores empresas de inversión y proveedores de automatización industrial del mundo, Claroty está implantada en cientos de organizaciones de miles de emplazamientos de todo el mundo. La empresa tiene su sede en Nueva York y está presente en Europa, Asia-Pacífico y Latinoamérica.

La entrada <strong>Claroty descubre una nueva ciberarma de OT/IoT: IOCONTROL</strong> se publicó primero en El negocio – Guía Informativa para Autónomos y Pymes.