伊朗恶意分子正在利用名为 IOCONTROL 的新恶意软件来破坏以色列和美国关键基础设施使用的物联网 (IoT) 设备和 OT/SCADA 系统。

  Claroty 的 Team82 研究人员发现了 IOCONTROL 并对其进行了采样做多元化的分析，他们报告说，这是一种民族国家网络武器，可以对关键基础设施造成严重破坏。

  鉴于持续的地理政治学冲突，IOCONTROL 目前用于针对以色列和美国的系统，例如 Orpak 和 Gasboy 燃料管理系统。据报道，该工具与一个名为 CyberAv3ngers 的伊朗黑客组织有关，该组织过去曾对攻击工业系统表现出兴趣。

  OpenAI 最近还报告称，该威胁组织使用 ChatGPT 来破解 PLC、开发自定义 bash 和 Python 漏洞利用脚本，并计划入侵。

  Claroty 从 Gasboy 燃油控制管理系统中提取了恶意软件样本，特别是该设备的支付终端 (OrPT)，但研究人员并不确切知道黑客是如何用 IOCONTROL 感染它的。

  在这些设备内部，IOCONTROL 能控制泵、支付终端和其他外围系统，从而可能会引起中断或数据被盗。

  威胁者在 Telegram 上声称破坏了以色列和美国的 200 个加油站，这与 Claroty 的调查的最终结果一致。这些攻击发生在 2023 年末，大约与水处理设施中的 Unitronics Vision PLC/HMI 设备遭到破坏的时间相同，但研究人员报告称，新的攻击活动于 2024 年中期出现。截至 2024 年 12 月 10 日，66 个 VirusTotal 防病毒引擎均未检测到 UPX 打包的恶意软件二进制文件。

  该恶意软件以“iocontrol”名称存储在“/usr/bin/”目录中，使用模块化配置来适应不一样的供应商与设备类型，针对广泛的系统架构。它使用持久性脚本（“S93InitSystemd.sh”）在系统启动时执行恶意软件进程（“iocontrol”），因此重新再启动设备不会将其停用。

  它通过端口 8883 使用 MQTT 协议与其命令和控制 (C2) 服务器进行通信，这是物联网设备的标准通道和协议。唯一的设备 ID 嵌入到 MQTT 凭证中，以实现更好的控制。

  ·发送“hello”：向C2报告详细的系统信息（例如主机名、当前用户、设备型号）。

  上述命令是使用从“libc”库动态检索的系统调用执行的，并将输出写入临时文件以进行报告。

  鉴于 IOCONTROL 目标在关键基础设施中的作用以及该组织的持续活动，Claroty 的报告为防御者提供了宝贵的资源，能够在一定程度上帮助他们识别和阻止威胁。