Un logiciel malveillant lié à l’Iran cible les systèmes SCADA sous Linux
Articles du même auteur :
3
4
Claroty, la société de cybersécurité spécialisée dans l’OT, a publié, mi-décembre 2024, un rapport sur un nouveau logiciel malveillant, attribué à l’Iran et visant les systèmes SCADA et IoT sous Linux. Baptisé « IOCONTROL », le malware ciblerait essentiellement Israël et les États-Unis. Les chercheurs soulignent sa capacité à attaquer les caméras IP, les routeurs, les PLC, les interfaces homme-machine (HMI), les pare-feu et d’autres plateformes IoT/OT basées sur Linux.
« Bien que l’on pense que le logiciel malveillant a été conçu sur mesure par l’acteur de la menace, il semble suffisamment générique pour pouvoir fonctionner sur une variété de plateformes de différents fournisseurs en raison de sa configuration modulaire », lit-on dans le rapport de Claroty. L’objectif final de sa chaîne d’infection est de déployer une porte dérobée, automatiquement exécutée à chaque redémarrage de l’appareil.
Claroty a analysé une souche de IOCONTROL retrouvée dans un système de gestion de carburant de Gasboy, compromis par le groupe affilié à l’Iran, Cyber Av3ngers. Fin novembre 2024, la société chinoise QiAnXin XLab avait déjà identifié ce même malware dans un SI d’Orpak du même type.
« Ce logiciel malveillant constitue avant tout une cyberarme utilisée par un État-nation pour attaquer des infrastructures civiles essentielles ; les systèmes de gestion des carburants Orpak et Gasboy sont ses victimes avérées », synthétise Claroty.