Заправки под ударом: IOCONTROL берёт критическую инфраструктуру в заложники

Иранская группировка CyberAv3ngers в своей последней вредоносной кампании использовала специально разработанный софт IOCONTROL для атак на промышленные устройства (OT) и устройства интернета вещей (IoT) в Израиле и США.

Атакам подверглись камеры, маршрутизаторы, PLC, HMI, файрволы и другие устройства от компаний Baicells, D-Link, Hikvision, Orpak, Teltonika и других. Киберэксперты компании Claroty определили, что IOCONTROL применяется для атак на критическую инфраструктуру, подтверждая его статус как кибероружия государственного уровня.

Анализ IOCONTROL выявил его модульную архитектуру, позволяющую атаковать широкий спектр платформ на базе Linux. Образцы вредоносного ПО были извлечены из систем управления топливом Orpak и Gasboy, используемых на автозаправках. Сообщается, что вредоносное ПО способно не только выводить из строя системы, но и потенциально красть данные, включая номера банковских карт.

IOCONTROL использует протокол MQTT для связи с командным сервером, скрывая передаваемые данные. Для обеспечения скрытности также применялись технологии DNS через HTTPS. Группировка публиковала результаты атак в Telegram, распространяя скриншоты и базы данных. В числе недавних кибернападений — атаки на системы водоочистки в Израиле и США с использованием уязвимостей в устройствах Unitronics.

Министерство финансов США в феврале 2024 года ввело санкции против шести представителей IRGC-CEC, связанных с CyberAv3ngers, и объявило награду в $10 млн за информацию о членах группировки. Между тем, израильская группа Gonjeshke Darande в ответ атаковала иранские автозаправки, временно выведя из строя их системы.

Специалисты Team82 обнаружили IOCONTROL с минимальной детектируемостью в сентябре 2024 года, что позволило группировке избежать раннего обнаружения. Однако в декабре число обнаружений увеличилось до 21, что указывает на рост осведомлённости о вредоносном ПО.

Сложная структура IOCONTROL включает механизм автозапуска и зашифрованную конфигурацию. Данные об устройствах передаются на сервер через зашифрованные каналы, а уникальные идентификаторы помогают атакующим отслеживать кампании. Несмотря на маскировку, исследователям удалось расшифровать конфигурацию и раскрыть инфраструктуру командных серверов.

Кибератаки с использованием IOCONTROL демонстрируют угрозу глобальной безопасности IoT и OT систем, указывая на необходимость усиления защиты критической инфраструктуры.