İran’a bağlı tehdit aktörleri, İsrail ve ABD’deki Nesnelerin İnterneti ve operasyonel teknoloji (OT) ortamlarına yönelik yeni bir özel kötü amaçlı yazılımla ilişkilendirildi.
Kötü amaçlı yazılımın kod adı verildi IOCONTROL OT siber güvenlik şirketi Claroty tarafından, IoT’ye ve IP kameralar, yönlendiriciler, programlanabilir mantık denetleyicileri (PLC’ler), insan-makine arayüzleri (HMI’lar), güvenlik duvarları ve diğer Linux gibi denetleyici kontrol ve veri toplama (SCADA) cihazlarına saldırma yeteneği vurgulanıyor. tabanlı IoT/OT platformları.
Şirket, “Kötü amaçlı yazılımın tehdit aktörü tarafından özel olarak oluşturulduğuna inanılsa da, kötü amaçlı yazılımın modüler yapılandırması nedeniyle farklı satıcıların çeşitli platformlarında çalışabilecek kadar genel olduğu görülüyor” dedi.
Bu gelişme, IOCONTROL’ü Stuxnet, Havex, Industroyer (diğer adıyla CrashOverride), Triton (diğer adıyla Trisis), BlackEnergy2, Industroyer2, PIPEDREAM (diğer adıyla INCONTROLLER), COSMICENERGY ve FrostyGoop’tan sonra Endüstriyel Kontrol Sistemlerini (ICS) özel olarak ayıran onuncu kötü amaçlı yazılım ailesi haline getiriyor ( aka BUSTLEBERM) bugüne kadar.
Claroty, su sistemlerini ihlal etmek için Unitronics PLC’leri kullanan siber saldırılarla bağlantılı olan Cyber Av3ngers adlı bilgisayar korsanlığı grubunun daha önce ele geçirdiği Gasboy yakıt yönetim sisteminden alınan kötü amaçlı yazılım örneğini analiz ettiğini söyledi. Kötü amaçlı yazılım, Gasboy’un Ödeme Terminali’ne (diğer adıyla OrPT) yerleştirildi.
Bu aynı zamanda, ödeme terminalini kontrol etme yetenekleri göz önüne alındığında, tehdit aktörlerinin aynı zamanda yakıt hizmetlerini kapatma ve müşterilerden kredi kartı bilgilerini çalma potansiyeline sahip oldukları anlamına da geliyor.
Claroty, “Kötü amaçlı yazılım aslında bir ulus devletin sivil kritik altyapıya saldırmak için kullandığı bir siber silah; kurbanlardan en az biri Orpak ve Gasboy yakıt yönetim sistemleriydi.” dedi.
Enfeksiyon zincirinin nihai hedefi, cihaz her yeniden başlatıldığında otomatik olarak yürütülen bir arka kapı dağıtmaktır. IOCONTROL’ün dikkate değer bir yönü, iletişim için IoT cihazlarında yaygın olarak kullanılan bir mesajlaşma protokolü olan MQTT’yi kullanması ve böylece tehdit aktörlerinin kötü amaçlı trafiği gizlemesine olanak sağlamasıdır.
Dahası, komuta ve kontrol (C2) alanları, Cloudflare’in HTTPS üzerinden DNS (DoH) hizmeti kullanılarak çözümlenir. Çin ve Rus ulus devlet grupları tarafından hâlihazırda benimsenen bu yaklaşım, kötü amaçlı yazılımın, DNS isteklerini açık metin olarak gönderirken tespit edilmekten kurtulmasına olanak tanıdığı için önemlidir.
Başarılı bir C2 bağlantısı kurulduğunda, kötü amaçlı yazılım, yürütülecek diğer komutları bekledikten sonra cihaz hakkındaki bilgileri (ana bilgisayar adı, mevcut kullanıcı, cihaz adı ve modeli, saat dilimi, donanım yazılımı sürümü ve konumu) sunucuya iletir.
Bu, kötü amaçlı yazılımın belirlenen dizine yüklendiğinden emin olmak, rastgele işletim sistemi komutlarını yürütmek, kötü amaçlı yazılımı sonlandırmak ve belirli bir bağlantı noktasındaki IP aralığını taramak için yapılan kontrolleri içerir.
Claroty, “Kötü amaçlı yazılım, güvenli bir MQTT kanalı üzerinden bir C2 ile iletişim kuruyor ve isteğe bağlı kod yürütme, kendi kendini silme, bağlantı noktası taraması ve daha fazlasını içeren temel komutları destekliyor” dedi. “Bu işlevsellik, uzak IoT cihazlarını kontrol etmek ve gerekirse yanal hareket gerçekleştirmek için yeterli.”