El nuevo malware llamado Irongate se dirige a sistemas de control industrial. Fue encontrado por los investigadores de FireEye, los cuales dicen que el descubrimiento debe servir como otra llamada de atención a la industria de la seguridad para reforzar sus capacidades de detección de alrededor de las amenazas ICS y SCADA.
Irongate, que comparte algunos de los mismos atributos que el malware Stuxnet, fue encontrado por los investigadores en los laboratorios de ingeniería inversa avanzada de FireEye.
FireEye dijo que el malware no representa actualmente una amenaza, ya que fue diseñado con el único propósito de ejecutarse dentro de entornos Siemens simulados. Sin embargo, los investigadores dicen que el malware ha pasado desapercibido durante años en la base de datos de VirusTotal de Google.
Algunos atributos clave de Irongate incluyen su capacidad para perpetrar un ataque man-in-the-middle contra el proceso de entrada y salida, además de atacar el software operador del proceso dentro de simulaciones industriales, de acuerdo con FireEye. Un sistema comprometido por Irongate podría dar a los atacantes la capacidad de alterar los controles industriales sin el conocimiento del operador del sistema. Estos tipos de técnicas se han utilizado en el pasado para sabotear desde las redes de energía hasta los controladores lógicos en centrifugadoras nucleares.
Un análisis técnico del programa malicioso reveló un ataque man-in-the-middle diseñado específicamente para una aplicación de usuario compilada de manera especial en un entorno de simulación Siemens Step 7 PLC. Investigadores de FireEye también encontraron la inyección de una DLL maliciosa capaz de enmascarar el comportamiento malicioso del malware. La DLL que tiene la capacidad de grabar cinco segundos de tráfico «normal» de un PLC simulado (controlador lógico programable). Un atacante podría reproducir de nuevo el tráfico «normal» para ocultar el envío de los datos codificados de nuevo al hardware simulado, dijo FireEye.
Irongate realmente sorprendió a los analistas de la investigación cuando descubrieron que el malware diseñado para sistemas de control industrial comenzó a actuar más como el malware convencional. Cuando Irongate se introdujo en un entorno VMware o Cuckoo Sandbox a través de un dropper, el malware trató de evitar la detección permaneciendo en estado latente sin ejecutarse.
Comentarios recientes