伊朗黑客利用IOCONTROL恶意软件攻击美国和以色列的物联网和运营技术设备

根据网络安全公司Claroty的研究，一支臭名昭著的伊朗国家支持的黑客组织，利用定制构建的恶意软件对美国和以色列的物联网（IoT）和运营技术（OT）设备发动了攻击。

这款名为IOCONTROL的恶意软件，被Claroty的研究人员追踪至CyberAv3ngers，这个自称是黑客组织的团体，实际上被美国政府和其他国家认定为伊朗伊斯兰革命卫队（IRGC）的附属。

CyberAv3ngers曾针对爱尔兰和美国的水务设施发动攻击，其中包括宾夕法尼亚州的一家水务公司。在爱尔兰的攻击中，黑客的行为导致水供应中断了两天。

这些攻击并不涉及复杂的黑客技术，而是利用了许多组织将工业控制系统（ICS）暴露在互联网上，并且使用默认凭证保护这一事实，这些凭证很容易被获取。

美国政府为提供有关CyberAv3ngers的信息提供了高达1000万美元的奖励，该组织被描述为伊朗政府用于进行恶意网络活动的一个角色。

据Claroty称，IOCONTROL恶意软件是伊朗用于攻击民用关键基础设施的网络武器。

该安全公司指出，恶意软件已被用于攻击包括IP摄像头、路由器、SCADA系统、PLC、HMI以及防火墙在内的IoT、ICS和其他OT设备，这些设备来自如Baicells、D-Link、Hikvision、Red Lion、Orpak、Phoenix Contact、Teltonika和Unitronics等供应商。

IOCONTROL基于一个针对嵌入式Linux设备的通用IoT/OT恶意软件框架，攻击者为每种目标系统编译了不同的版本。

IOCONTROL使用MQTT机器对机器网络协议进行命令和控制（C&C）通信，支持执行任意代码和端口扫描的命令，使攻击者能够远程控制被入侵的设备并进行横向移动。

2023年10月，CyberAv3ngers声称已经干扰了以色列的200个加油站。这些目标设备使用了Orpak Systems提供的加油站解决方案。

Claroty从VirusTotal获得了IOCONTROL恶意软件的一个样本，该样本来自Gasboy燃料控制系统，该系统与Orpak Systems有密切联系。安全公司表示，目前还不清楚恶意软件是如何传播的。

尽管关于CyberAv3ngers针对Orpak设备的攻击报道从2023年10月中旬至2024年1月底不等，从VirusTotal获得了一个公开的IOCONTROL样本，表明该组织在7月和8月重新启动了针对性行动。