{"id":1485200,"date":"2024-12-13T13:37:20","date_gmt":"2024-12-13T13:37:20","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-malware-iocontrol-vinculado-a-iran-apunta-a-scada-y-plataformas-iot-basadas-en-linux\/"},"modified":"2024-12-13T13:37:25","modified_gmt":"2024-12-13T13:37:25","slug":"el-malware-iocontrol-vinculado-a-iran-apunta-a-scada-y-plataformas-iot-basadas-en-linux","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-malware-iocontrol-vinculado-a-iran-apunta-a-scada-y-plataformas-iot-basadas-en-linux\/","title":{"rendered":"El malware IOCONTROL vinculado a Ir\u00e1n apunta a SCADA y plataformas IoT basadas en Linux"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>13 de diciembre de 2024<\/span>\ue804<\/i>Las noticias de los piratas inform\u00e1ticos<\/span><\/span>Seguridad IoT\/Tecnolog\u00eda operativa<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Los actores de amenazas afiliados a Ir\u00e1n han sido vinculados a un nuevo malware personalizado dirigido a entornos de IoT y tecnolog\u00eda operativa (OT) en Israel y Estados Unidos.<\/p>\n

El malware<\/a> ha sido nombrado en c\u00f3digo IOCONTROL<\/strong> por la empresa de ciberseguridad OT Claroty, destacando su capacidad para atacar dispositivos IoT y de control de supervisi\u00f3n y adquisici\u00f3n de datos (SCADA), como c\u00e1maras IP, enrutadores, controladores l\u00f3gicos programables (PLC), interfaces hombre-m\u00e1quina (HMI), firewalls y otros sistemas Linux. plataformas IoT\/OT basadas en<\/p>\n

“Si bien se cree que el malware ha sido creado a medida por el actor de la amenaza, parece que es lo suficientemente gen\u00e9rico como para poder ejecutarse en una variedad de plataformas de diferentes proveedores debido a su configuraci\u00f3n modular”, dijo la compa\u00f1\u00eda. dicho<\/a>.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

El desarrollo convierte a IOCONTROL en la d\u00e9cima familia de malware que destaca espec\u00edficamente los sistemas de control industrial (ICS) despu\u00e9s de Stuxnet, Havex, Industroyer (tambi\u00e9n conocido como CrashOverride), Triton (tambi\u00e9n conocido como Trisis), BlackEnergy2, Industroyer2, PIPEDREAM (tambi\u00e9n conocido como INCONTROLLER), COSMICENERGY y FrostyGoop ( tambi\u00e9n conocido como BUSTLEBERM) hasta la fecha.<\/p>\n

Claroty dijo que analiz\u00f3 una muestra de malware extra\u00edda de un sistema de gesti\u00f3n de combustible Gasboy que anteriormente fue comprometido por el grupo de hackers llamado Cyber \u200b\u200bAv3ngers, que ha sido vinculado a ataques cibern\u00e9ticos que explotan los PLC de Unitronics para violar los sistemas de agua. El malware estaba integrado en la terminal de pago de Gasboy, tambi\u00e9n llamada OrPT.<\/p>\n

Esto tambi\u00e9n significa que los actores de la amenaza, dada su capacidad para controlar la terminal de pago, tambi\u00e9n ten\u00edan los medios para cerrar los servicios de combustible y potencialmente robar informaci\u00f3n de las tarjetas de cr\u00e9dito de los clientes.<\/p>\n

“El malware es esencialmente un arma cibern\u00e9tica utilizada por un Estado-naci\u00f3n para atacar infraestructuras civiles cr\u00edticas; al menos una de las v\u00edctimas fueron los sistemas de gesti\u00f3n de combustible Orpak y Gasboy”, dijo Claroty.<\/p>\n

El objetivo final de la cadena de infecci\u00f3n es implementar una puerta trasera que se ejecuta autom\u00e1ticamente cada vez que se reinicia el dispositivo. Un aspecto notable de IOCONTROL es el uso de MQTT<\/a>un protocolo de mensajer\u00eda ampliamente utilizado en dispositivos IoT, para las comunicaciones, lo que permite a los actores de amenazas disfrazar el tr\u00e1fico malicioso.<\/p>\n

Adem\u00e1s, los dominios de comando y control (C2) se resuelven mediante el servicio DNS sobre HTTPS (DoH) de Cloudflare. Este enfoque, ya adoptado por grupos de estados-naci\u00f3n chinos y rusos, es importante, ya que permite que el malware evada la detecci\u00f3n cuando env\u00eda solicitudes de DNS en texto sin cifrar.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

Una vez que se establece una conexi\u00f3n C2 exitosa, el malware transmite informaci\u00f3n sobre el dispositivo, es decir, nombre de host, usuario actual, nombre y modelo del dispositivo, zona horaria, versi\u00f3n de firmware y ubicaci\u00f3n, al servidor, despu\u00e9s de esperar m\u00e1s comandos para su ejecuci\u00f3n.<\/p>\n

Esto incluye comprobaciones para garantizar que el malware est\u00e9 instalado en el directorio designado, ejecutar comandos arbitrarios del sistema operativo, finalizar el malware y escanear un rango de IP en un puerto espec\u00edfico.<\/p>\n

“El malware se comunica con un C2 a trav\u00e9s de un canal MQTT seguro y admite comandos b\u00e1sicos que incluyen ejecuci\u00f3n de c\u00f3digo arbitrario, autoeliminaci\u00f3n, escaneo de puertos y m\u00e1s”, dijo Claroty. “Esta funcionalidad es suficiente para controlar dispositivos IoT remotos y realizar movimientos laterales si es necesario”.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? Este art\u00edculo es una contribuci\u00f3n de uno de nuestros valiosos socios.<\/span> S\u00edguenos en Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n