O malware IOCONTROL representa uma ameaça significativa para sistemas industriais, especialmente aqueles que utilizam dispositivos IoT e tecnologias operacionais baseadas em Linux. Descoberto em dezembro de 2024, ele já foi associado a ataques contra a infraestrutura de combustível nos EUA e em Israel, supostamente ligados ao grupo hacktivista Cyber Av3ngers. A ameaça se torna ainda mais preocupante devido à tentativa de seu desenvolvedor de comercializá-lo em fóruns clandestinos e no Telegram.
Leia também
Plugin de engenharia reversa da Kaspersky em open source
Desenvolvedor do LockBit é extraditado para os EUA
O IOCONTROL utiliza técnicas avançadas para evitar detecção e análise. Ele é compactado com UPX modificado, impedindo sua descompactação padrão, e se extrai na memória durante a execução. Para persistência no sistema, cria diretórios com permissões irrestritas e escreve scripts bash que garantem sua inicialização automática. O malware também usa um GUID codificado para gerar variáveis de ambiente, essenciais para descriptografar strings e ocultar suas operações.
A comunicação com os operadores do malware ocorre por meio do protocolo MQTT, um protocolo leve e eficiente usado frequentemente em dispositivos IoT. Para estabelecer contato com o servidor de comando e controle (C2), o IOCONTROL primeiro faz uma consulta DNS ao CloudFlare para obter o endereço IP do C2 e, em seguida, inicia a troca de informações. No estágio inicial, ele coleta detalhes do sistema, como versão do kernel, nome do host e fuso horário, e envia esses dados via MQTT em um pacote “olá”. Esse canal também permite que os invasores executem comandos remotamente, abrindo caminho para a instalação de cargas maliciosas adicionais.
Entre suas funcionalidades, o malware pode escanear redes, executar comandos arbitrários e até se autoexcluir para evitar rastreamento. As comunicações são protegidas com criptografia AES-256 no modo CBC, dificultando a análise forense. A chave de criptografia e o vetor de inicialização (IV) são derivados das variáveis de ambiente criadas previamente, tornando cada instância do malware única e dificultando a detecção por assinaturas convencionais.
Pesquisadores da Flashpoint alertam que o autor do malware parece atuar sozinho e está ativamente buscando compradores para seu código. O preço exato da ferramenta ainda não foi divulgado, mas sua disponibilidade no mercado clandestino pode levar a um aumento expressivo de ataques direcionados à infraestrutura crítica. Diante disso, empresas do setor industrial precisam reforçar suas medidas de segurança, monitorar tráfego de rede suspeito e implementar políticas de resposta a incidentes para mitigar os riscos associados ao IOCONTROL.
