Иранские хакеры из CyberAv3ngers создали сложный бэкдор для атак на промышленные системы

IOCONTROL представляет собой бэкдор для Linux, предназначенный для встраиваемых OT-устройств и интернета вещей (IoT). Анализ показывает, что он работает на архитектуре ARM 32-bit big-endian и использует модифицированную упаковку, похожую на UPX. Вредоносная программа расшифровывает свою конфигурацию при помощи шифрования AES-256-CBC, что говорит о серьёзном уровне проработки. Основной канал управления (C2) построен на протоколе MQTT (Message Queuing Telemetry Transport) - лёгком промышленном протоколе, часто применяемом в IoT. Это даёт атакующим возможность централизованно управлять заражёнными устройствами.

Функционал IOCONTROL включает профилирование хоста и устройства, периодическую отправку сигналов (beaconing) на сервер управления, выполнение произвольных команд операционной системы, вывод результатов, внутреннее сканирование сети и даже самоудаление. Особо опасна функция закрепления (persistence) через init-скрипты в директории /etc/rc*.d/, что позволяет бэкдору переживать перезагрузки. Специалисты компании Claroty [документировали] образец этого вредоносного ПО, извлечённый из системы управления топливом Gasboy, предположительно взломанной группировкой CyberAv3ngers. В отчёте подчёркивается, что это не просто демонстрационный артефакт, а реальный инструмент для получения доступа к гражданской критической инфраструктуре.

Жертвами IOCONTROL становятся устройства самых разных вендоров: роутеры, программируемые контроллеры (PLC), человеко-машинные интерфейсы (HMI), межсетевые экраны, IP-камеры и топливные системы от Orpak, Gasboy, Unitronics, Phoenix Contact, Teltonika, Hikvision, D-Link, Red Lion и других. Аналитики отмечают, что группировка ранее специализировалась на символьных атаках - выводе политических сообщений на экраны незащищённых контроллеров, что вызывало панику, но не приводило к реальному ущербу. Теперь же они получили возможность долговременного скрытого присутствия.

Сравнение с другим недавним образцом - ZionSiphon - показывает разницу в зрелости угроз. ZionSiphon позиционировался как вредоносное ПО для атак на системы водоснабжения Израиля, однако, как выяснили эксперты Dragos, его код сломан, не содержит работающего протокола промышленной автоматизации и вряд ли представляет реальную опасность. Это скорее прототип или инструмент психологического воздействия. IOCONTROL же, напротив, является полноценным бэкдором для встраиваемых OT/IoT-систем.

Стратегически ситуация выглядит тревожно. Иранские кибероперации теперь чётко разделяются на три направления: шпионаж в корпоративных сетях (высокопрофессиональные группы типа APT33), разрушительные атаки с использованием вайперов (как Agrius) и непосредственно OT-принуждение, где CyberAv3ngers выступает главным действующим лицом. IOCONTROL закрывает разрыв между традиционными IT-вредоносами и OT-устройствами, позволяя атакующим получать устойчивый доступ к критическим узлам - от топливных терминалов до контроллеров автоматизации.

Наибольшему риску подвергаются не столько глубоко защищённые промышленные сети, сколько OT-пограничные устройства на базе Linux: платёжные терминалы на заправках, шлюзы промышленных контроллеров, роутеры, камеры, удалённые точки доступа. Они часто имеют выход в интернет, плохо инвентаризированы и слабо сегментированы. IOCONTROL специально нацелен на эту слепую зону защиты.

Для обнаружения атаки специалистам рекомендуется обращать внимание на характерные признаки: необычный трафик MQTT на портах 1883 или 8883 от устройств, которые обычно его не используют; появление новых init-скриптов; неизвестные ELF-файлы на ARM/MIPS-системах; внутреннее сканирование сети с IP-адресов топливных систем или PLC-шлюзов; а также запросы DNS-over-HTTPS от OT-устройств. Среди конкретных индикаторов компрометации - файлы /usr/bin/iocontrol, /tmp/iocontrol, /var/run/iocontrol.pid и скрипт /etc/rc3.d/S93InitSystemd.sh. Сетевые адреса C2 включают 159[.]100[.]6[.]69, а также домены uuokhhfsdlk.tylarion867mino[.]com и ocferda[.]com.

Таким образом, IOCONTROL становится ключевым маркером эволюции иранских OT-возможностей. Он не достигает уровня Stuxnet по манипуляции технологическими процессами, но предоставляет злоумышленникам реальный рычаг для нарушения работы критической инфраструктуры. В сочетании с параллельными шпионскими и разрушительными операциями других групп КСИР, общий уровень угрозы для топливно-энергетического комплекса, водоснабжения и смежных отраслей оценивается как высокий.

IPv4

• 104.21.62.225
• 159.100.6.69
• 172.67.139.215
• 3.217.232.142

Domains

• ocferda.com
• uuokhhfsdlk.tylarion867mino.com

MD5

• c92e2655d115368f92e7b7de5803b7bc

SHA1

• 366e435a1ea0f597deb6ebe7c0c5acdb6e8b33eb

SHA256

• 1b39f9b2b96a6586c4a11ab2fdbff8fdf16ba5a0ac7603149023d73f33b84498
• bc160db9bdf6758cafaa1940b8cbe1608fe3f236743d312a08568fa0fb1250ab