O malware IOCONTROL é uma ameaça considerável para sistemas industriais, em especial aos que integram dispositivos IoT (Internet das Coisas) e tecnologias operacionais que rodam em sistemas Linux.
Identificado em dezembro de 2024, ele já se vinculou a ofensivas contra a infraestrutura de distribuição de combustíveis nos Estados Unidos e em Israel, com suspeitas que apontam para a conexão com o grupo hacktivista Cyber Av3ngers.
A situação se agrava com a tentativa de seu criador de comercializar o malware em fóruns na deep web e através do Telegram.
Além disso, o plugin de engenharia reversa da Kaspersky, agora de código aberto, e a extradição para os EUA do desenvolvedor do LockBit são também notícias relevantes na área.
O IOCONTROL emprega estratégias sofisticadas para fugir de detecções e análises.
Ele é embalado com uma versão modificada do UPX, o que impede a descompressão por métodos convencionais, realizando a extração direto na memória quando ativado.
Para se manter persistente no sistema, cria diretórios com permissões irrestritas e arquivos scripts bash, que asseguram seu acionamento automático.
Utiliza ainda um GUID codificado para gerar variáveis de ambiente, fundamentais para decodificar strings e camuflar suas ações.
A interlocução com os responsáveis pelo malware se dá através do protocolo MQTT, notável por sua eficiência e vasto uso em dispositivos IoT.
Para conectar-se ao servidor de comando e controle (C2), o IOCONTROL inicia por uma consulta DNS ao CloudFlare para adquirir o endereço IP do C2, movendo-se após para a transmissão de informações.
Em sua fase inicial, agrega detalhes do sistema — como versão do kernel, nome do host e fuso horário — e os envia por MQTT em um pacote tipo “olá”.
Esse expediente também habilita os invasores a implantarem comandos à distância, lastreando a via para a instalação de outros malwares.
Dentre suas funcionalidades, o malware é capaz de varrer redes, executar comandos escolhidos arbitrariamente e até de se autoeliminar para escapar de rastreios.
As comunicações entre ele são asseguradas com a criptografia AES-256 no modo CBC, o que obstrui a análise forense.
A chave de criptografia e o vetor de inicialização (IV) são extraídos das variáveis de ambiente previamente determinadas, conferindo ao malware uma assinatura única e complicando sua detecção por meios tradicionais.
Especialistas da Flashpoint alertam que o autor do malware parece operar de modo isolado, buscando ativamente compradores para seu código.
Ainda que o valor preciso não tenha sido revelado, sua comercialização em canais ocultos potencializa o risco de ataques mirados a infraestruturas críticas.
Diante disso, enfatiza-se a necessidade de as empresas industriais fortalecerem suas defesas, vigiarem por tráfegos de rede anômalos e adotarem políticas eficazes de resposta a incidentes para amenizar os riscos trazidos pelo IOCONTROL.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...