Цель – инфраструктура: IOCONTROL атакует промышленные системы

На фоне роста числа киберугроз, исследователи обнаружили новое вредоносное ПО, способное наносить ущерб системам управления промышленными объектами. Программа под названием IOCONTROL была замечена в атаках на топливную инфраструктуру США и Израиля и связывается с активностью проиранской хактивистской группировки Cyber Av3ngers.

Судя по данным Flashpoint, IOCONTROL ориентирован на устройства интернета вещей (IoT) и операционные технологии (OT), в основном работающие под управлением Linux. Первые образцы вредоносного кода были зафиксированы в декабре 2024 года. Несмотря на то, что зафиксированных случаев немного, исследователи уже предупреждают о серьёзной угрозе — особенно в контексте попыток разработчика продавать IOCONTROL через Telegram и теневые форумы.

Одной из первых защитных мер вредоносного ПО стало использование упаковщика UPX с модифицированными сигнатурами. Это делает невозможной стандартную распаковку через утилиту UPX, хотя сама программа корректно работает, распаковывая себя в памяти. На этапе инициализации IOCONTROL создаёт несколько переменных окружения, используя жёстко закодированный GUID, который впоследствии участвует в процедуре дешифровки строк.

Для устойчивости на заражённой системе IOCONTROL создаёт каталоги с полными правами доступа и копирует себя в системный путь. Далее он прописывает bash-скрипт, автоматически запускаемый при старте устройства. В ходе работы вредонос выполняет DNS-запрос к CloudFlare, извлекает IP-адрес управляющего сервера и устанавливает соединение по протоколу MQTT — лёгкому сетевому протоколу, применимому для устройств с ограниченными вычислительными ресурсами.

После установления соединения IOCONTROL собирает системную информацию: версию ядра, имя хоста, часовой пояс и другие параметры. Информация отправляется в виде «hello»-пакета через MQTT. Для выполнения команд IOCONTROL динамически подключает библиотеку libc и использует системный вызов system() — эта же техника применяется в функциях удалённого доступа, таких как обратная оболочка.

Вредонос также обладает базовыми функциями бэкдора: может передавать информацию о системе, запускать команды, проверять наличие компонентов, выполнять сканирование сети и удаляться. Хотя сам по себе функционал выглядит ограниченным, возможность выполнять системные команды открывает путь к развёртыванию дополнительных вредоносных модулей и деструктивной активности.

Ключевые строки, включая адреса C2-серверов, зашифрованы с использованием AES-256 в режиме CBC. Ключ и вектор инициализации извлекаются из переменных окружения, ранее созданных на базе хешированного GUID. Эта криптографическая схема затрудняет статический анализ и затрудняет сигнатурную детекцию.

Flashpoint также указывает на то, что автор вредоносного кода, судя по данным из Telegram и BreachForums, действует в одиночку и активно ищет покупателей. Хотя точная стоимость IOCONTROL пока неизвестна, его потенциальная доступность может привести к росту числа атак.

На фоне увеличения числа утечек данных и масштабных киберинцидентов появление нового инструмента в арсенале киберпреступников угрожает усилением атак на критическую инфраструктуру. Учитывая, что вредонос уже ориентирован на промышленные цели и активно распространяется, ситуация требует постоянного мониторинга и готовности к реагированию.