عوامل تهدید وابسته به ایران با بدافزار سفارشی جدیدی مرتبط هستند که برای محیطهای اینترنت اشیا و فناوری عملیاتی (OT) در اسرائیل و ایالات متحده طراحی شده است.
این بدافزار توسط شرکت امنیت سایبری Claroty تحت عنوان IOCONTROL شناخته شده است که بر توانایی آن در حمله به اینترنت اشیا و دستگاههای کنترل نظارتی و جمعآوری داده (SCADA) مانند دوربینهای IP، روترها، کنترلرهای منطقی قابل برنامهریزی (PLC)، رابطهای انسان و ماشین (HMI)، فایروالها و دیگر پلتفرمهای IoT/OT مبتنی بر لینوکس تاکید میکند. به نظر میرسد که بدافزار به اندازهای عمومی است که به دلیل پیکربندی ماژولار، قادر به اجرا بر روی پلتفرمهای مختلف از سازندگان مختلف است.
این توسعه، IOCONTROL را تاکنون به دهمین خانواده بدافزار متمرکز بر سیستمهای کنترل صنعتی (ICS) پس از Stuxnet، Havex، Industroyer (معروف به CrashOverride)، Triton (معروف به Trisis)، BlackEnergy2، Industroyer2 و PIPEDREAM (با نام مستعار INCONTROLLER)، COSMICENERGY، و FrostyGoop (معروف به BUSTLEBERM) تبدیل میکند. این بدافزار اساساً سلاحی سایبری است که توسط یک دولت جهت حمله به زیرساختهای حیاتی غیرنظامی استفاده میشود و حداقل یکی از قربانیان سیستمهای مدیریت سوخت Orpak و Gasboy بودند.
این بدافزار با یک C2 از طریق یک کانال امن MQTT ارتباط برقرار می کند و از دستورات اساسی از جمله اجرای کد دلخواه، حذف خودکار، اسکن پورت و موارد دیگر پشتیبانی میکند. این قابلیت برای کنترل دستگاههای IoT از راه دور و انجام حرکت جانبی در صورت نیاز کافی است. بر اساس گزارشها این ابزار با یک گروه هک ایرانی به نام CyberAv3ngers مرتبط است. OpenAI همچنین اخیرا گزارش داد که گروه تهدید از ChatGPT برای کرک کردن PLCها، توسعه اسکریپتهای بهرهبرداری bash و Python سفارشی و برنامهریزی فعالیتهای پس از آلودگی خود استفاده میکند.
https://thehackernews.com/2024/12/iran-linked-iocontrol-malware-targets.html
https://www.bleepingcomputer.com/news/security/new-iocontrol-malware-used-in-critical-infrastructure-attacks/
