Il modo industriale, quello delle tecnologie operative OT/IoT è sempre più sotto attacco cyber. Recentemente, il Team82 di Claroty ha identificato Iocontrol, un nuovo malware avanzato, impiegato da un gruppo affiliato all’Iran per colpire dispositivi OT/IoT situati in Israele e negli Stati Uniti.
Si tratta, quindi, di un’arma informatica utilizzata da uno Stato per attaccare il cuore di un altro Stato colpendo le sue infrastrutture civili critiche, ma nulla vieta a gruppi cybercriminali di utilizzarlo per estorcere denaro.
Gli esperti di Claroty hanno estratto un sample di Iocontrol da un sistema di gestione del carburante, compromesso presumibilmente dal gruppo CyberAv3ngers, legato all’Iran. Questo gruppo era già stato accusato di un attacco contro Unitronics nell’autunno del 2024.
Infatti, nonostante il malware sia progettato per attacchi mirati, grazie alla sua configurazione modulare, appare generico, quindi in grado di funzionare su una varietà di piattaforme di diversi vendor. Tra questi, Baicells, D-Link, Hikvision, Red Lion, Orpak, Phoenix Contact, Teltonika, Unitronics e altri.
Caratteristiche tecniche del malware Iocontrol
L’analisi degli esperti di Claroty fornisce uno sguardo approfondito sulle capacità del malware Iocontrol. La struttura modulare lo rende altamente versatile e in grado di compromettere una vasta gamma di dispositivi OT/IoT, tra cui:
- Router
- PLC (Programmable Logic Controller)
- HMI (Human-Machine Interface)
- Firewall
- Altre piattaforme IoT/OT basate su Linux
Attacchi Iocotrol documentati
Recentemente, un'ondata di attacchi ha coinvolto centinaia i sistemi per la gestione del carburante Orpak e Gasboy, in Israele e negli Stati Uniti.
Iocontrol ha così dimostrato di avere un impatto diretto sulle tecnologie operative, come le pompe di carburante presso le stazioni di servizio.
Questi attacchi sottolineano il ruolo crescente delle cyberweapons (armi informatiche) come strumenti di conflitto geopolitico. CyberAv3ngers, affiliato all’Islamic Revolutionary Guard Corps Cyber Electronic Command (Irgc-Cec), ha pubblicato su Telegram prove della compromissione dei sistemi, incluse immagini e dettagli tecnici.
Il malware tra le cyberweapons
Le cyberweapons sono strumenti digitali progettati per compromettere, sabotare o distruggere sistemi informatici, reti o infrastrutture critiche, con l'obiettivo di arrecare danni fisici, economici o strategici.
Questi malware sono utilizzati da governi, gruppi criminali o singoli attori per scopi diversi, tra cui spionaggio, guerra cibernetica, terrorismo o crimine organizzato. Gli obiettivi specifici includono principalmente infrastrutture critiche (energia, trasporti, telecomunicazioni, sanità), sistemi industriali e tecnologici (OT, IoT, Scada) e reti governative e militari.