IOCONTROL : Une nouvelle cyberarme iranienne cible les infrastructures critiques américaines et israéliennes

L'équipe Claroty's Team82 a récemment mis au jour IOCONTROL, un malware sophistiqué conçu pour cibler les systèmes IoT et OT/SCADA, développé par des acteurs malveillants liés à l'Iran. Cette cyberarme modulaire, attribuée au groupe CyberAv3ngers affilié au Commandement Cyber Électronique des Gardiens de la Révolution Islamique (IRGC-CEC), démontre une capacité d'adaptation remarquable en ciblant divers équipements industriels de fabricants majeurs tels que Baicells, D-Link et Hikvision.

Le groupe affirme avoir compromis environ 200 stations-service en Israël et aux États-Unis, en s'attaquant particulièrement aux systèmes de gestion de carburant Orpak Systems et Gasboy. La menace est d'autant plus préoccupante que le malware est resté indétectable par les moteurs antivirus de VirusTotal jusqu'en décembre 2024, témoignant d'une sophistication technique avancée.

IOCONTROL établit sa persistance en installant une porte dérobée et utilise le protocole MQTT sur le port 8883 pour communiquer avec son infrastructure de commande et contrôle, tout en employant le DNS over HTTPS (DoH) pour contourner la surveillance réseau. Le malware dispose d'un arsenal de commandes permettant notamment l'exécution de commandes arbitraires, l'auto-suppression et le scan de ports, représentant une menace sérieuse pour les infrastructures critiques ciblées.

L'impact potentiel est particulièrement inquiétant dans le cas des terminaux de paiement Gasboy, où les attaquants pourraient non seulement perturber les services de distribution de carburant mais également compromettre les données de cartes de crédit des clients. Cette campagne d'attaques, qui s'inscrit dans un contexte plus large de tensions géopolitiques, illustre l'évolution des cybermenaces étatiques ciblant les infrastructures critiques occidentales.

La découverte d'IOCONTROL souligne l'importance cruciale de renforcer la sécurité des systèmes IoT et OT dans les infrastructures critiques, particulièrement face à des menaces étatiques sophistiquées. Les organisations doivent impérativement mettre en place des mesures de détection et de protection robustes, notamment en surveillant les communications MQTT suspectes et en renforçant la sécurité de leurs systèmes de contrôle industriels.

Source : Security Affairs