Aktualne raporty wskazują, że grupy hakerów powiązane z Irańskim reżimem narodowym stworzyły nowe złośliwe oprogramowanie, opracowane specjalnie do ataków na urządzenia IoT (Internet of Things) oraz systemy OT (Operational Technology). Uderzeniami są objęte głównie kluczowe infrastruktury w Izraelu oraz Stanach Zjednoczonych, co stanowi kolejny dowód na ewolucję zagrożeń w cyberprzestrzeni.
Wspomniane złośliwe oprogramowanie, znane jako IOCONTROL, zostało zidentyfikowane przez ekspertów firmy zajmującej się bezpieczeństwem infrastruktury OT, Claroty. Atakuje ono urządzenia IoT i systemy SCADA (Supervisory Control and Data Acquisition) takie jak kamery IP, routery, programowalne sterowniki logiczne (PLC), interfejsy człowiek-maszyna (HMI), zapory sieciowe oraz inne platformy bazujące na systemie Linux. IOCONTROL wyróżnia się swoją modułową konstrukcją, dzięki której może być używane na różnych platformach oraz w urządzeniach wielu producentów, co podkreśla jego potencjał skalowalności i precyzyjnego dopasowania do celu ataków.
Według Claroty, złośliwe oprogramowanie IOCONTROL zostało stworzone bezpośrednio przez grupę powiązaną z rządem, ale jego funkcjonalność jest na tyle uniwersalna, że może być wykorzystane w szerokim spektrum systemów. Jego celem jest przechwytywanie kontroli nad urządzeniami infrastruktury krytycznej, co w przeszłości udało się osiągnąć w atakach na stacje paliwowe czy systemy płatności, takie jak Gasboy Payment Terminal.
IOCONTROL dołączył do listy zaledwie dziesięciu złośliwych narzędzi opracowanych głównie z myślą o atakowaniu przemysłowych systemów sterowania (ICS). Wcześniejszymi przykładami podobnych ataków są między innymi Stuxnet, Triton, PIPEDREAM, czy COSMICENERGY. Każde z tych złośliwych narzędzi dowodzi, że infrastruktura krytyczna pozostaje jednym z najważniejszych celów grup hakerskich wspieranych przez państwa narodowe, a IOCONTROL tylko podnosi poprzeczkę w toku eskalacji takich zagrożeń.
Według badaczy malware zostało odkryte w trakcie analizy systemu kontroli paliw Gasboy, który wcześniej był celem ataku grupy hakerskiej znanej jako Cyber Av3ngers. Grupa ta była wcześniej zaangażowana w skomplikowane ataki na systemy PLC firmy Unitronics, skutkujące kompromitacją systemów wodnych. Szacuje się, że w przypadku Gasboy hakerzy mieli zdolność do całkowitego unieruchomienia usług stacji paliw oraz przechwytywania danych z kart płatniczych klientów, co stanowiło kolejne źródło zagrożeń.
IOCONTROL wykorzystuje zaawansowane techniki komunikacyjne, takie jak protokół MQTT, który jest powszechnie stosowany w IoT. Ta modulacja pozwala przestępcom ukrywać złośliwy ruch sieciowy, czyniąc go trudniejszym do wykrycia przez tradycyjne systemy zabezpieczeń. Ponadto, malware korzysta z usługi DNS-over-HTTPS (DoH) dostarczanej przez Cloudflare, co zabezpiecza zapytania DNS przez szyfrowanie, skutecznie eliminując możliwość ich wykrycia oraz analizy w ruchu sieciowym.
Po nawiązaniu połączenia z serwerem Command-and-Control (C2), IOCONTROL przesyła szczegółowe informacje o zainfekowanym urządzeniu: nazwę hosta, aktualnego użytkownika, model, wersję firmware’u, lokalizację urządzenia oraz strefę czasową. Gdy urządzenie zostaje zmapowane, malware czeka na dalsze polecenia, które mogą obejmować zdalne wykonywanie kodu, usunięcie samego złośliwego oprogramowania, a nawet skanowanie określonego zakresu adresów IP pod kątem otwartych portów.
System dowodzenia IOCONTROL jest na tyle zaawansowany i wszechstronny, że umożliwia zdalne kontrolowanie urządzeń IoT, wykonywanie skomplikowanych operacji sieciowych oraz przemieszczanie się w ramach infrastruktury celu. Eksperci podkreślają, że tego typu modułowe oprogramowanie jest wyraźnym sygnałem rosnącego zaawansowania cyberbroni oraz świadczy o finansowaniu i wsparciu przez podmioty państwowe.
Rozwój takich narzędzi, jak IOCONTROL, pokazuje, że zagrożenia cybernetyczne stale ewoluują i zyskują na sile. W świetle tych wydarzeń kluczowe pozostaje zastosowanie kompleksowych środków ochrony oraz wzmocnienie zabezpieczeń infrastruktury krytycznej na poziomie globalnym.