COSMICENERGY البرامج الضارة

جذب برنامج ضار تم تحديده حديثًا يُعرف باسم COSMICENERGY انتباه الباحثين في مجال الأمن السيبراني. تستهدف هذه البرامج الضارة على وجه التحديد التكنولوجيا التشغيلية (OT) وأنظمة التحكم الصناعية (ICS) ، مع التركيز على التسبب في حدوث اضطرابات في البنية التحتية للطاقة الكهربائية. يحقق ذلك من خلال استغلال نقاط الضعف في أجهزة IEC 60870-5-104 (IEC-104) ، وخاصة الوحدات الطرفية البعيدة (RTUs) المستخدمة بشكل شائع في عمليات النقل والتوزيع الكهربائي عبر أوروبا والشرق الأوسط وآسيا.

عند تحليل COSMICENERGY ، اكتشف الباحثون أن وظائفه تشبه إلى حد كبير تلك التي لوحظت في الحوادث السابقة التي تنطوي على برامج ضارة ، مثل INDUSTROYER و INDUSTROYER.V2 . تم تصميم متغيرات البرامج الضارة السابقة هذه خصيصًا لتعطيل أنظمة نقل وتوزيع الكهرباء من خلال استغلال بروتوكول IEC-104.

يسلط ظهور COSMICENERGY الضوء على اتجاه مثير للقلق: تقليل الحواجز أمام الدخول لتطوير القدرات الهجومية في مجال OT. يستفيد الفاعلون الشريرون من المعرفة المكتسبة من الهجمات السابقة لإنشاء برامج ضارة جديدة ومتطورة ، مما يشكل مخاطر كبيرة على البنية التحتية الحيوية.

القدرات التطفلية للبرامج الضارة COSMICENERGY

تشترك COSMICENERGY Malware في أوجه التشابه مع حادثة INDUSTROYER لعام 2016 من حيث قدراتها واستراتيجية الهجوم. بطريقة تذكرنا بـ INDUSTROYER ، تستخدم COSMICENERGY أوامر IEC-104 ON / OFF للتفاعل مع الوحدات الطرفية البعيدة (RTUs) ، ومن المحتمل أن تستخدم خادم MSSQL كنظام قناة للوصول إلى البنية التحتية للتكنولوجيا التشغيلية (OT). من خلال الحصول على هذا الوصول ، يمكن للمهاجم التلاعب عن بعد بمفاتيح خط الطاقة وقواطع الدائرة ، مما يؤدي إلى انقطاع التيار الكهربائي. تتكون COSMICENERGY من مكونين رئيسيين: PIEHOP و LIGHTWORK.

تعمل PIEHOP ، المكتوبة بلغة Python ومعبأة مع PyInstaller ، كأداة تعطيل. إنه قادر على إنشاء اتصالات مع خوادم MSSQL البعيدة التي يوفرها المستخدم ، مما يسمح بتحميل الملفات وإصدار أوامر عن بُعد لوحدات RTU. تعتمد PIEHOP على LIGHTWORK لإرسال أوامر IEC-104 ، على وجه التحديد "ON" أو "OFF" إلى النظام المستهدف. بعد إصدار الأمر ، يتم حذف الملف القابل للتنفيذ على الفور. ومع ذلك ، فإن العينة التي تم الحصول عليها من PIEHOP تعرض أخطاء منطقية في البرمجة تمنعها من تنفيذ قدرات التحكم في IEC-104 بنجاح. ومع ذلك ، يعتقد الباحثون أن هذه الأخطاء يمكن تصحيحها بسهولة من قبل مطوري التهديد.

من ناحية أخرى ، تعمل LIGHTWORK ، المكتوبة بلغة C ++ ، كأداة تعطل تنفذ بروتوكول IEC-104 لتعديل حالة RTUs عبر TCP. تقوم بصياغة رسائل وحدة بيانات تطبيق IEC-104 (ASDU) القابلة للتخصيص لتغيير حالة عناوين كائنات معلومات RTU (IOAs) إما إلى "تشغيل" أو "إيقاف". يستخدم LIGHTWORK وسيطات سطر الأوامر الموضعية لتحديد الجهاز المستهدف والمنفذ وأمر IEC-104.

يُظهر COSMICENERGY غيابًا ملحوظًا لقدرات الاكتشاف ، مما يشير إلى أن مشغل البرامج الضارة سيحتاج إلى إجراء استطلاع داخلي قبل شن هجوم ناجح. تتضمن مرحلة الاستطلاع هذه جمع معلومات بيئة محددة ، بما في ذلك عناوين IP لخادم MSSQL وبيانات اعتماد MSSQL وعناوين IP لأجهزة IEC-104 المستهدفة.

أوجه التشابه بين COSMICENERGY وتهديدات البرامج الضارة الأخرى

بينما يختلف COSMICENERGY عن عائلات البرامج الضارة المعروفة ، تظهر قدراته أوجه تشابه ملحوظة مع تلك التي لوحظت في الحوادث السابقة. على وجه الخصوص ، لاحظ الباحثون أوجه تشابه كبيرة بين COSMICENERGY و INDUSTROYER و INDUSTROYER.V2 ، وكلاهما تم نشرهما سابقًا لتعطيل أنظمة نقل وتوزيع الكهرباء.

بالإضافة إلى أوجه التشابه مع INDUSTROYER ، تشترك COSMICENERGY في الخصائص التقنية مع العائلات الأخرى من البرامج الضارة للتكنولوجيا التشغيلية (OT). تتضمن أوجه التشابه هذه استخدام Python للتطوير أو الحزم واستخدام مكتبات مفتوحة المصدر لتنفيذ بروتوكولات OT. تشمل عائلات البرامج الضارة OT البارزة التي تظهر هذه التشابهات التقنية IRONGATE و TRITON و INCONTROLLER.

من خلال دراسة أوجه التشابه هذه ، يمكن لمتخصصي الأمن اكتساب فهم أعمق للأصول والتقنيات والآثار المحتملة المرتبطة بـ COSMICENERGY.