Цель – инфраструктура: IOCONTROL атакует промышленные системы

Цель – инфраструктура: IOCONTROL атакует промышленные системы

Всего один вредоносный файл оборачивается коллапсом для целой отрасли.

image

На фоне роста числа киберугроз, исследователи обнаружили новое вредоносное ПО, способное наносить ущерб системам управления промышленными объектами. Программа под названием IOCONTROL была замечена в атаках на топливную инфраструктуру США и Израиля и связывается с активностью проиранской хактивистской группировки Cyber Av3ngers.

Судя по данным Flashpoint, IOCONTROL ориентирован на устройства интернета вещей (IoT) и операционные технологии (OT), в основном работающие под управлением Linux. Первые образцы вредоносного кода были зафиксированы в декабре 2024 года. Несмотря на то, что зафиксированных случаев немного, исследователи уже предупреждают о серьёзной угрозе — особенно в контексте попыток разработчика продавать IOCONTROL через Telegram и теневые форумы.

Одной из первых защитных мер вредоносного ПО стало использование упаковщика UPX с модифицированными сигнатурами. Это делает невозможной стандартную распаковку через утилиту UPX, хотя сама программа корректно работает, распаковывая себя в памяти. На этапе инициализации IOCONTROL создаёт несколько переменных окружения, используя жёстко закодированный GUID, который впоследствии участвует в процедуре дешифровки строк.

Для устойчивости на заражённой системе IOCONTROL создаёт каталоги с полными правами доступа и копирует себя в системный путь. Далее он прописывает bash-скрипт, автоматически запускаемый при старте устройства. В ходе работы вредонос выполняет DNS-запрос к CloudFlare, извлекает IP-адрес управляющего сервера и устанавливает соединение по протоколу MQTT — лёгкому сетевому протоколу, применимому для устройств с ограниченными вычислительными ресурсами.

После установления соединения IOCONTROL собирает системную информацию: версию ядра, имя хоста, часовой пояс и другие параметры. Информация отправляется в виде «hello»-пакета через MQTT. Для выполнения команд IOCONTROL динамически подключает библиотеку libc и использует системный вызов system() — эта же техника применяется в функциях удалённого доступа, таких как обратная оболочка.

Вредонос также обладает базовыми функциями бэкдора: может передавать информацию о системе, запускать команды, проверять наличие компонентов, выполнять сканирование сети и удаляться. Хотя сам по себе функционал выглядит ограниченным, возможность выполнять системные команды открывает путь к развёртыванию дополнительных вредоносных модулей и деструктивной активности.

Ключевые строки, включая адреса C2-серверов, зашифрованы с использованием AES-256 в режиме CBC. Ключ и вектор инициализации извлекаются из переменных окружения, ранее созданных на базе хешированного GUID. Эта криптографическая схема затрудняет статический анализ и затрудняет сигнатурную детекцию.

Flashpoint также указывает на то, что автор вредоносного кода, судя по данным из Telegram и BreachForums, действует в одиночку и активно ищет покупателей. Хотя точная стоимость IOCONTROL пока неизвестна, его потенциальная доступность может привести к росту числа атак.

На фоне увеличения числа утечек данных и масштабных киберинцидентов появление нового инструмента в арсенале киберпреступников угрожает усилением атак на критическую инфраструктуру. Учитывая, что вредонос уже ориентирован на промышленные цели и активно распространяется, ситуация требует постоянного мониторинга и готовности к реагированию.

Взломают завтра? как математика предсказывает кибератаки

31 марта в 14:00 — SuperHardio Brothers* раскрывают, как превратить математическое моделирование времени атак в конкурентное преимущество вашей компании.

Реклама. АО «Позитив Текнолоджиз», ИНН 7718668887 *герои-эксперты харденинга