Iran powiązano z nowym typem złośliwego oprogramowania opracowanym z myślą o środowiskach IoT i systemach technologii operacyjnej (OT) w Stanach Zjednoczonych oraz Izraelu. Według ekspertów firma Claroty, zajmująca się bezpieczeństwem OT, zidentyfikowała tego rodzaju oprogramowanie jako „IOCONTROL”. Malware ten stanowi zagrożenie dla urządzeń IoT oraz systemów SCADA, takich jak kamery IP, routery, sterowniki PLC, interfejsy HMI, firewalle oraz inne platformy IoT/OT oparte na systemie Linux.
Eksperci podkreślili, że IOCONTROL, choć zaprojektowany na potrzeby określonego celu, cechuje się wystarczającą uniwersalnością, by działać na różnorodnych platformach od różnych dostawców. To zasługa jego modułowej konfiguracji, co czyni go szczególnie elastycznym narzędziem w rękach cyberprzestępców. Modułowość tego złośliwego oprogramowania pozwala na adaptację do różnych środowisk, zwiększając jego skuteczność w atakach na infrastrukturę krytyczną.
Wprowadzając IOCONTROL, malware ten dołączył do ekskluzywnej grupy oprogramowania wymierzonego w systemy sterowania przemysłowego (ICS). Poprzednio poznaliśmy takie rodziny jak Stuxnet, Havex, Industroyer, Triton czy PIPEDREAM, które zyskały rozgłos z powodu ich destrukcyjnego potencjału. IOCONTROL rozszerza listę złośliwego oprogramowania, które w przeszłości było wykorzystywane do manipulowania systemami takich sektorów jak energetyka, wodociągi czy infrastruktura transportowa.
Specjaliści z firmy Claroty przeanalizowali próbkę malware, która została pozyskana z systemu zarządzania paliwem Gasboy. W przeszłości systemy te zostały już naruszone przez grupę hakerów znaną jako Cyber Av3ngers. Ustalono, że złośliwe oprogramowanie zostało zainstalowane w terminalu płatności tych systemów, co umożliwiło atakującym potencjalne unieruchomienie stacji paliw oraz kradzież danych kart płatniczych klientów. Udzielenie zdalnego dostępu do infrastruktury takich systemów wykazuje, jak krytyczne i niebezpieczne mogą być skutki ataków na tego typu urządzenia.
Jednym z głównych celów działań IOCONTROL jest instalacja backdoora, który uruchamia się automatycznie po ponownym włączeniu danego urządzenia. Co wyróżnia ten malware, to wykorzystanie protokołu komunikacyjnego MQTT, będącego popularnym standardem w świecie IoT. Dzięki temu atakujący mogą skutecznie maskować nielegalny ruch sieciowy i unikać wykrycia. Komunikacja z serwerem zdalnego zarządzania (C2) odbywa się również za pomocą DNS-over-HTTPS (DoH) dostarczanego przez Cloudflare. Taka metoda, stosowana już wcześniej przez grupy hakerów z Chin czy Rosji, pomaga w ukryciu złośliwego ruchu internetowego i utrudnia analitykom odtwarzanie szczegółów ataku.
Podczas nawiązywania połączenia z serwerem C2, IOCONTROL przesyła informacje o zainfekowanym urządzeniu. Dane te obejmują nazwę hosta, zalogowanego użytkownika, model urządzenia, wersję oprogramowania układowego oraz nawet lokalizację urządzenia. Po wysłaniu tych podstawowych informacji malware czeka na dalsze komendy od cyberprzestępców. Polecenia te pozwalają na instalację złośliwego oprogramowania w określonej lokalizacji, uruchamianie dowolnych skryptów systemowych, skanowanie sieci czy usunięcie samego malware po zakończeniu misji.
Eksperci ostrzegają, że uniwersalne możliwości oprogramowania IOCONTROL czynią go bardzo poważnym zagrożeniem. Jego zdolność do kontrolowania zdalnych urządzeń IoT oraz przemieszczania się w sieci może być bezpośrednio wykorzystana w atakach na infrastrukturę krytyczną. Oprogramowanie to pozwala hakerom na przejęcie pełnej kontroli nad dotkniętymi urządzeniami, co w najgorszym scenariuszu może prowadzić do przestojów działalności w strategicznych sektorach gospodarki.
W obliczu takich zagrożeń, infrastruktura krytyczna wymaga szczególnej ochrony. Operatorzy powinni nie tylko na bieżąco aktualizować systemy, ale także inwestować w bardziej kompleksowe systemy wykrywania i ochrony przed cyberzagrożeniami. Bez zwiększenia standardów bezpieczeństwa cybernetycznego ryzyko przejęcia kluczowych elementów infrastruktury przez cyberprzestępców będzie stale rosło.
