IOCONTROL: Новый угроза для IoT и критической инфраструктуры
Недавно выявленный вид вредоносного ПО IOCONTROL нацелился на устройства IoT (Интернет вещей) и системы операционных технологий (OT). Его разработка приписывается проиранской группе хактивистов, известной как «Кибер-злоумышленники». Согласно анализу Flashpoint, IOCONTROL представляет собой значительный риск для критически важной инфраструктуры, что подтверждается недавними кибератаками на системы управления расходом топлива в США и Израиле на фоне сохраняющейся геополитической напряженности.
Технические особенности IOCONTROL
Технически IOCONTROL использует упаковку исполняемых файлов для обфускации своего кода. В частности, он применяет модифицированный UPX-упаковщик, что усложняет процесс обратного проектирования. После запуска вредоносная программа:
- распаковывает себя в памяти;
- создает множество переменных окружения, включая жестко заданный GUID;
- хэширует GUID для использования во время процедуры расшифровки строк.
Такое манипулирование переменными окружения облегчает работу вредоносного ПО, включая установление соединений с серверами управления (C2).
Механизмы сохранения работоспособности
После заражения IOCONTROL создает каталоги с расширенными правами доступа и использует поиск по DNS для получения IP-адреса своего сервера C2, применяя протокол MQTT, адаптированный для сред Интернета вещей. Если подключение к MQTT broker установлено успешно, вредоносная программа:
- копирует себя в важные системные каталоги;
- настраивает bash-скрипт на автоматическое выполнение при старте.
Этот механизм сохранения работоспособности имеет решающее значение для поддержания контроля над скомпрометированными системами.
Данные и шифрование
Одной из примечательных возможностей IOCONTROL является его способность отправлять системную информацию обратно на сервер C2, используя пакет beacon для ретрансляции таких данных, как версия ядра и имя хоста. Вредоносное ПО:
- динамически генерирует имена файлов для выполнения системных команд;
- работает в рамках элементарного бэкдора;
- выполняет команды, проверяет статус установки и сканирует сеть.
Кроме того, IOCONTROL оснащен надежными механизмами шифрования, реализующими расширенный стандарт шифрования (AES) с 256-битным ключом в режиме CBC для защиты критически важных строк, включая домен C2. Процесс расшифровки зависит от значений среды выполнения, полученных из идентификатора GUID.
Подтвержденная связь с хакерским сообществом
Принадлежность вредоносного ПО к Cyber Av3ngers была подтверждена доказательствами связи между разработчиками и хакерским сообществом. Также имеются указания на то, что IOCONTROL был доступен для продажи на таких платформах, как Telegram и BreachForums.
Рекомендации для организаций
Наметившаяся тенденция указывает на потенциальный рост масштабов внедрения IOCONTROL, что требует от организаций усиления защиты от таких сложных угроз, нацеленных на критически важные системные инфраструктуры.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
