Иранская группировка CyberAv3ngers использовала IOCONTROL для атак на промышленные устройства и устройства интернета вещей в Израиле и СШАphp
12/12/24
Атакам подверглись камеры, маршрутизаторы, PLC, HMI, файрволы и другие устройства от компаний Baicells, D-Link, Hikvision, Orpak, Teltonika и других. Киберэксперты компании Claroty определили, что IOCONTROL применяется для атак на критическую инфраструктуру, подтверждая его статус как кибероружия государственного уровня, пишет Securitylab.
Анализ IOCONTROL выявил его модульную архитектуру, позволяющую атаковать широкий спектр платформ на базе Linux. Образцы вредоносного ПО были извлечены из систем управления топливом Orpak и Gasboy, используемых на автозаправках. Сообщается, что вредоносное ПО способно не только выводить из строя системы, но и потенциально красть данные, включая номера банковских карт.
IOCONTROL использует протокол MQTT для связи с командным сервером, скрывая передаваемые данные. Для обеспечения скрытности также применялись технологии DNS через HTTPS. Группировка публиковала результаты атак в Telegram, распространяя скриншоты и базы данных. В числе недавних кибернападений — атаки на системы водоочистки в Израиле и США с использованием уязвимостей в устройствах Unitronics.
Министерство финансов США в феврале 2024 года ввело санкции против шести представителей IRGC-CEC, связанных с CyberAv3ngers, и объявило награду в $10 млн за информацию о членах группировки. Между тем, израильская группа Gonjeshke Darande в ответ атаковала иранские автозаправки, временно выведя из строя их системы.
Специалисты Team82 обнаружили IOCONTROL с минимальной детектируемостью в сентябре 2024 года, что позволило группировке избежать раннего обнаружения. Однако в декабре число обнаружений увеличилось до 21, что указывает на рост осведомлённости о вредоносном ПО.
Сложная структура IOCONTROL включает механизм автозапуска и зашифрованную конфигурацию. Данные об устройствах передаются на сервер через зашифрованные каналы, а уникальные идентификаторы помогают атакующим отслеживать кампании. Несмотря на маскировку, исследователям удалось расшифровать конфигурацию и раскрыть инфраструктуру командных серверов.