据工业网络安全公司Claroty旗下的Team82团队最新的跟踪研究,伊朗国家黑客组织开发的定制恶意软件IOCONTROL,作为一种新型“网络武器”,正对以色列和美国的物联网(IoT)和运营技术(OT)基础设施构成威胁。该恶意软件通过安全的MQTT通道与C2通信,并支持基本命令,包括任意代码执行、自我删除、端口扫描等。此功能足以控制远程IoT设备并在需要时执行横向移动。
IOCONTROL
首次发现于2023年7月或8月,专门针对Gilbarco Veeder-Root公司生产的Orpak和Gasboy品牌燃料管理系统。然而,IOCONTROL可被用来攻击各种类型的IoT和SCADA设备,包括来自Baicells、D-Link、Hikvision、Red Lion、Orpak、Phoenix Contact、Teltonika、Unitronics等不同供应商的IP摄像头、路由器、PLC、HMI、防火墙等。
IOCONTROL具有通过守护进程安装和隐身机制实现的基本持久性机制,例如,初始有效负载使用修改后的UPX打包,恶意软件使用通过HTTPS的DNS尽可能隐藏其C2础设施。其复杂性还体现在其持久性机制和隐蔽的通信方式上。该恶意软件在受感染系统上安装后门,确保即使设备重启后仍保持活动状态,其后门位于
/etc/rc3.d/S93InitSystemd.sh
。它使用MQTT协议与命令和控制基础设施进行通信,通常通过端口8883上的安全MQTT协议,增加了其隐蔽性。此外,IOCONTROL通过HTTPS上的DNS混淆其C2域通信,以逃避检测。
尽管目前尚未发现实际的受害者,但IOCONTROL的潜在影响不容忽视。它可能导致加油站运营中断、支付卡信息泄露和其他安全风险,对受影响地区的经济和社会稳定构成严重威胁。美国财政部已对相关伊朗官员实施制裁,并悬赏1000万美元征集相关信息,以识别或抓获参与这些攻击的个人。这一事件凸显了民族国家利用网络武器攻击民用关键基础设施的严重性,以及全球网络安全面临的挑战。美国和以色列的水处理设施曾于2023年10月遭到CyberAv3ngers组织的攻击,这些设施内的集成Unitronics Vision系列PLC/HMI设备成为攻击目标,攻击导致这些OT设备被毁坏,进一步证明了IOCONTROL的潜在危险性。
Team82的分析报告附后:
