IOCONTROL网络武器被用于攻击美国和以色列的基础设施

Claroty旗下的Team82团队获得了一个名为IOCONTROL的定制IoT/OT恶意软件样本，该软件由与伊朗有关的威胁参与者使用，目标是位于以色列和美国的关键基础设施设备。专家称，与伊朗有关的威胁组织CyberAv3ngers据报道利用定制的IoT恶意软件IOCONTROL攻击了以色列和美国的燃油管理系统，这与地缘政治紧张局势有关。研究人员认为，该恶意软件是由国家行为者开发的网络武器，目标是民用关键基础设施。

IOCONTROL是一个定制的模块化恶意软件，可以在来自不同厂商的各种平台上运行。IOCONTROL已被用于攻击多个设备系列，包括IP摄像头、路由器、PLC、HMI、防火墙等等。受影响的制造商包括Baicells、D-Link、海康威视、Red Lion、Orpak、Phoenix Contact、Teltonika和Unitronics。

据信CyberAv3ngers组织是伊朗伊斯兰革命卫队网络电子司令部（IRGC-CEC）的一部分，他们在以色列和美国针对数百个以色列制造的Orpak系统和美国制造的Gasboy燃油管理系统发动了攻击。伊朗方面声称已入侵以色列和美国的200个加油站。攻击始于2023年末，与其他工业系统入侵事件同时发生，并持续到2024年中期。截至2024年12月，VirusTotal反病毒引擎仍未检测到该恶意软件。

专家们从与Orpak系统相关的Gasboy燃油控制系统中获得了一个恶意软件样本。专家们尚未确定该恶意软件是如何部署到受害者系统的。IOCONTROL隐藏在Gasboy的支付终端（OrPT）中。攻击者完全控制支付终端意味着他们可以关闭燃油服务，并可能窃取客户的信用卡信息。

该恶意软件通过在设备上安装后门并在连接到C2基础设施之前保持持久性。恶意代码添加了一个新的rc3.d引导脚本，该脚本将在设备每次重启时执行。专家注意到，后门位于/etc/rc3.d/S93InitSystemd.sh。该恶意软件使用MQTT协议通过8883端口与其C2服务器通信，在凭据中嵌入唯一的设备ID以进行控制。它使用DNS over HTTPS (DoH)来规避网络监控工具，并使用AES-256-CBC加密配置。