https://www.informationsecurity.com.tw/seminar/2025_TPinfosecurity365/
https://www.informationsecurity.com.tw/seminar/2025_TPinfosecurity365/

新聞

新型惡意程式IOCONTROL可入侵多種物聯網和工控系統設備

2024 / 12 / 13
編輯部
新型惡意程式IOCONTROL可入侵多種物聯網和工控系統設備
Claroty近期發現一個疑似來自伊朗的駭客組織CyberAv3ngers,正使用一款名為IOCONTROL的新型惡意程式,針對以色列和美國的關鍵基礎設施展開攻擊。

根據Claroty的Team82研究團隊分析,IOCONTROL是一款具有模組化特性的國家級網路武器,能夠入侵包括路由器、可程式邏輯控制器(PLC)、人機介面(HMI)、IP攝影機、防火牆和加油站管理系統等多種物聯網(IoT)和工控系統設備。受影響的設備製造商包括D-Link、Hikvision、Baicells、Red Lion、Orpak、Phoenix Contact、Teltonika和Unitronics等。

相關文章:物聯網裝置資安風險升高,多數組織單位未完整盤點設備資產

研究人員在一台Gasboy加油控制系統的支付終端機(OrPT)中發現了IOCONTROL的樣本。該惡意程式一旦入侵系統,就能控制加油泵、支付終端機和其他周邊系統,可能造成營運中斷或資料外洩。駭客組織在Telegram上宣稱已成功入侵以色列和美國的200個加油站,這與Claroty的調查發現相符。

值得注意的是,這些攻擊始於2023年底,同時期還發生了針對水處理設施Unitronics Vision PLC/HMI設備的入侵事件。研究人員指出,新一波攻擊活動已於2024年中展開。截至12月10日,這個使用UPX封裝的惡意程式仍未被任何防毒引擎偵測到。

在技術層面,IOCONTROL採用多項先進技術來躲避偵測。它使用MQTT協定通過8883埠與命令控制伺服器通訊,這是物聯網設備的標準通訊方式。此外,它還使用DNS over HTTPS(DoH)來解析指揮控制網域,以規避網路流量監控工具,並使用AES-256-CBC加密其配置檔。

Claroty提醒,鑒於IOCONTROL鎖定關鍵基礎設施且駭客組織持續活躍,建議相關單位應立即採取防護措施。 

報導也指出,根據OpenAI的研究,CyberAv3ngers駭客組織還利用ChatGPT來破解PLC、開發自定義的bash和Python攻擊腳本,並規劃入侵後的活動,顯示出其技術能力的持續進化。

本文轉載自bleepingcomputer。