I malware progettati specificamente per attaccare i sistemi di controllo industriale (ICS), dispositivi IoT e infrastrutture di tecnologia operativa (OT) sono rari, ma recenti scoperte ne sottolineano la crescente pericolosità. I ricercatori di sicurezza hanno recentemente identificato due minacce significative caricate su VirusTotal: IOCONTROL e Chaya_003.
IOCONTROL: Un malware generico per molte piattaforme OT/IoT Scoperto dal Team82 di Claroty, IOCONTROL è stato associato a un gruppo iraniano noto come CyberAv3ngers.
- Caratteristiche principali:
- Consente agli aggressori di eseguire comandi da remoto e autoeliminarsi.
- Può operare su una vasta gamma di dispositivi OT e IoT, tra cui PLC, router, HMI e firewall, prodotti da marchi come Baicells, D-Link, Unitronics e Hikvision.
- Si nasconde in sistemi critici come i terminali di pagamento OrPT, potenzialmente capaci di interrompere servizi essenziali come il rifornimento di carburante e di rubare dati sensibili.
- Target principali:
- Sistemi come Gasboy, utilizzati per la gestione del carburante, e altre infrastrutture critiche in ambito occidentale.
Chaya_003: Un malware per postazioni di lavoro Siemens Individuato da Vedere Labs di Forescout, Chaya_003 è progettato per colpire le postazioni di lavoro di ingegneria che eseguono il software Siemens TIA Portal.
- Funzionalità chiave:
- Rimuove processi critici come Siemens.Automation.Portal.exe e altri applicativi in esecuzione.
- Usa webhook Discord per comando e controllo (C2), abilitando ricognizione e interruzione di processi sui sistemi compromessi.
- Include stringhe scritte in olandese, inglese e spagnolo, con riferimenti a comunità di sviluppo open-source come StackOverflow e ChatGPT.
- Campioni osservati:
- I tre campioni (test.exe, Isass.exe, e elsass.exe) sono stati caricati in Belgio e mostrano un’evoluzione progressiva, suggerendo che gli sviluppatori stiano ancora testando il malware.
Implicazioni e consigli per i difensori La crescente sofisticazione di malware mirati all’OT pone sfide significative per la sicurezza delle infrastrutture critiche.
Misure di protezione consigliate:- Rafforzamento delle postazioni di lavoro di ingegneria:
- Applicare aggiornamenti software regolari.
- Disattivare porte e servizi inutilizzati.
- Utilizzare credenziali complesse e non predefinite.
- Segmentazione della rete:
- Isolare dispositivi IT, IoT e OT per ridurre l’esposizione.
- Evitare di esporre le postazioni di lavoro di ingegneria a Internet.
- Monitoraggio delle minacce:
- Rilevare attività sospette come tentativi di connessione o upload di malware.
- Analizzare continuamente indicatori di compromissione.
- Segui le linee guida della CISA:
- Proteggere le interfacce uomo-macchina (HMI), in particolare nei settori idrico e delle acque reflue, seguendo le raccomandazioni fornite.
