Die Sicherheitsforscher von Team82, der Forschungsabteilung des Spezialisten für die Sicherheit von cyberphysischen Systemen (CPS) Claroty, haben eine speziell entwickelte IoT/OT-Malware identifiziert, die gegen Geräte wie IP-Kameras, Router, SPS, HMIs und Firewalls von verschiedenen Herstellern, unter anderem Baicells, D-Link, Hikvision, Red Lion, Orpak, Phoenix Contact und Teltonika gerichtet ist. Die Forscher stufen die Schadsoftware „IOCONTROL“ als Cyberwaffe ein, die wahrscheinlich von der iranischen Hacker-Gruppe „CyberAv3ngers“ entwickelt wurde und zum Angriff auf kritische zivile Infrastrukturen vornehmlich in den USA und Israel eingesetzt wird.
Die Sicherheitsforscher gehen davon aus, dass „IOCONTROL“ Teil einer globalen Cyber-Operation gegen westliche IoT- und Betriebstechnologie-Geräte (OT) ist. Zu den betroffenen Geräten gehören Router, speicherprogrammierbare Steuerungen (SPS), Mensch-Maschine-Schnittstellen (HMI), Firewalls und andere Linux-basierte IoT/OT-Plattformen. Die Malware wurde wahrscheinlich von den Angreifern eigens für spezifische Ziele entwickelt, ist aber offenbar so generisch, dass sie aufgrund ihrer modularen Konfiguration auf einer Vielzahl von Plattformen verschiedener Hersteller ausgeführt werden kann.
Team82 hat eine von Virus Total zur Verfügung gestellte Malware-Probe analysiert. Diese wurde aus einem kompromittierten Kraftstoffmanagementsystem extrahiert. Eine „IOCONTROL“-Angriffswelle betraf die mehrere hundert Orpak-Systeme und Gasboy-Kraftstoffmanagementsysteme in Israel und den Vereinigten Staaten. Die Malware ist zwar im Wesentlichen speziell für IoT-Geräte entwickelt worden, hat aber auch direkte Auswirkungen auf OT-Geräte wie die in Tankstellen häufig verwendeten Kraftstoffpumpen. Die Angriffe sind wohl eine weitere Ausweitung des geopolitischen Konflikts zwischen Israel und dem Iran. Die sogenannten CyberAv3ngers gehören vermutlich zum Cyber Electronic Command des Korps der Islamischen Revolutionsgarden (IRGC-CEC) und haben sich über Telegram geäußert, indem sie Screenshots und andere Informationen über die Kompromittierung dieser Kraftstoffsysteme veröffentlichten.
Die Analyse zeigt, dass die „IOCONTROL“-Malware auf einem generischen OT/IoT-Malware-Framework für eingebettete Linux-basierte Geräte basiert, das je nach Bedarf gegen bestimmte Ziele eingesetzt und kompiliert wird. Die Malware kommuniziert mit einem C2 über einen sicheren MQTT-Kanal und unterstützt grundlegende Befehle wie die Ausführung von beliebigem Code, Selbstlöschung, Port-Scan und mehr. Diese Funktionalität reicht aus, um entfernte IoT-Geräte zu kontrollieren und bei Bedarf laterale Bewegungen durchzuführen.
Darüber hinaus verfügt „IOCONTROL“ über einen grundlegenden Persistenzmechanismus mittels Daemon-Installation und einen Stealth-Mechanismus. So verwendet nutzt die Malware beispielsweise DNS über HTTPS (DOH), um ihre C2-Infrastruktur so weit wie möglich zu verbergen.
Info: Hintergründe, technische Details und Indikatoren für eine Kompromittierung (IoC) finden sich im entsprechenden Blog-Beitrag von Claroty.
#Claroty
