Cotización de descuento para licencias múltiples
Seguridad informática Los piratas informáticos iraníes utilizan el malware...

Los piratas informáticos iraníes utilizan el malware IOCONTROL para atacar dispositivos IoT y OT en Estados Unidos e Israel

Por Mura en Seguridad informática
Traducir a:
Español

Un conocido grupo de piratas informáticos iraní, CyberAv3ngers, ha sido vinculado a una serie de ciberataques dirigidos contra dispositivos IoT (Internet de las cosas) y OT (Tecnología operativa) en Estados Unidos e Israel. El malware creado a medida que se esconde detrás de estos ataques, denominado IOCONTROL, está diseñado para infiltrarse en infraestructuras críticas, lo que hace sonar las alarmas tanto entre los expertos en ciberseguridad como entre los gobiernos.

Amenazas patrocinadas por el Estado a la infraestructura crítica

CyberAv3ngers, que afirma ser un grupo de hackers, ha estado vinculado al Cuerpo de la Guardia Revolucionaria Islámica de Irán (CGRI). El grupo ha atacado anteriormente los sistemas de control industrial (ICS) en instalaciones de agua en Irlanda y Estados Unidos, causando interrupciones significativas. Por ejemplo, en un ataque de 2023 a una empresa de servicios de agua en Pensilvania, los piratas informáticos explotaron ICS mal protegidos, lo que provocó dos días de cortes en el suministro de agua.

El aspecto preocupante de estos ataques es que se basan en vulnerabilidades básicas. Muchos dispositivos ICS y OT quedan expuestos a Internet con contraseñas predeterminadas, lo que los convierte en blancos fáciles para los atacantes sin necesidad de técnicas de piratería avanzadas. Estas brechas en la seguridad resaltan los riesgos constantes que plantean las protecciones de infraestructura débiles.

Cómo funciona el malware IOCONTROL

Según los investigadores de Claroty, IOCONTROL es un arma cibernética diseñada específicamente para atacar dispositivos basados en Linux integrados en entornos IoT y OT. El malware es versátil y se puede personalizar para diferentes dispositivos, entre ellos:

  • Cámaras IP
  • Enrutadores
  • Sistemas SCADA
  • PLC (controladores lógicos programables)
  • HMI (Interfaces hombre-máquina)
  • Cortafuegos

Entre los proveedores afectados se encuentran Baicells, D-Link, Hikvision, Phoenix Contact, Teltonika y Unitronics, entre otros. Esta amplia gama de ataques sugiere que el malware puede explotar múltiples tipos de dispositivos que forman parte de las redes industriales y operativas.

IOCONTROL se comunica con sus operadores a través del protocolo MQTT, un estándar de comunicación ligero de máquina a máquina. Esto permite a los atacantes ejecutar código arbitrario, realizar escaneos de puertos y propagar malware de forma lateral a través de las redes, obteniendo un mayor control sobre los sistemas comprometidos.

Ataques recientes de alto perfil

Una de las campañas más alarmantes se produjo en octubre de 2023, cuando CyberAv3ngers afirmó haber interrumpido el funcionamiento de 200 surtidores de gasolina en Israel. El ataque explotó dispositivos vinculados a Orpak Systems, una empresa que ofrece soluciones de gestión de gasolineras.

El análisis de IOCONTROL realizado por Claroty reveló una muestra obtenida de un sistema de control de combustible Gasboy, estrechamente vinculado a Orpak, lo que indica que el grupo podría haber relanzado su campaña a mediados de 2024. A pesar de las investigaciones en curso, sigue sin estar claro cómo se distribuyó inicialmente el malware.

Las implicaciones más amplias

Los ataques atribuidos a IOCONTROL ponen de relieve la creciente atención que se presta a las infraestructuras civiles críticas como objetivo de las campañas cibernéticas patrocinadas por los Estados. Al explotar las vulnerabilidades de la IoT y la OT, grupos como CyberAv3ngers pueden provocar perturbaciones generalizadas, desde la interrupción del suministro de agua hasta la interrupción de la distribución de combustible. Estas acciones no solo plantean riesgos para la seguridad pública, sino que también crean tensión geopolítica.

En respuesta, el gobierno de Estados Unidos ha ofrecido una recompensa de hasta 10 millones de dólares por información que conduzca a la identificación o arresto de personas asociadas con los ciberatacantes. Esto pone de relieve la gravedad de estas amenazas cibernéticas y la urgente necesidad de contar con defensas más sólidas contra ellas.

Protección contra IOCONTROL y amenazas similares

Las organizaciones que administran dispositivos IoT y OT deben tomar las siguientes medidas para mitigar los riesgos:

  1. Cambie las credenciales predeterminadas: muchos ataques tienen éxito gracias a contraseñas predeterminadas de fábrica débiles. Implemente políticas de contraseñas seguras de inmediato.
  2. Segmentación de red: aísle los dispositivos ICS y OT de las redes que dan a Internet para limitar los posibles puntos de acceso de los atacantes.
  3. Actualizaciones y parches periódicos: asegúrese de que todos los dispositivos ejecuten el firmware y las actualizaciones de seguridad más recientes.
  4. Monitorear anomalías: Implemente sistemas de detección de intrusiones para identificar actividad inusual, como escaneos de puertos o intentos de acceso no autorizado.
  5. Limitar el acceso remoto: restrinja el acceso a dispositivos ICS y OT, permitiendo conexiones solo desde direcciones IP confiables.

Palabras finales

La campaña de malware IOCONTROL es un duro recordatorio de las vulnerabilidades inherentes a los sistemas IoT y OT. A medida que grupos patrocinados por estados como CyberAv3ngers atacan cada vez más la infraestructura crítica, las organizaciones deben adoptar medidas de ciberseguridad proactivas para defenderse de estas amenazas en constante evolución. Al proteger sus redes, pueden prevenir ataques que podrían tener efectos devastadores en la seguridad pública y los servicios esenciales.

Cargando...