COSMICENERGY Зловреден софтуер

Наскоро идентифициран злонамерен софтуер, известен като COSMICENERGY, привлече вниманието на изследователите по киберсигурност. Този зловреден софтуер е насочен конкретно към оперативните технологии (OT) и индустриалните системи за контрол (ICS), като се фокусира върху причиняването на смущения в електроенергийната инфраструктура. Той постига това чрез използване на уязвимости в IEC 60870-5-104 (IEC-104) устройства, по-специално отдалечени терминални устройства (RTU), често използвани в операции за пренос и разпределение на електроенергия в Европа, Близкия изток и Азия.

При анализиране на COSMICENERGY изследователите са открили, че неговите функционалности много наподобяват тези, наблюдавани при предишни инциденти, включващи зловреден софтуер, като INDUSTROYER и INDUSTROYER.V2 . Тези предишни варианти на зловреден софтуер са специално проектирани да прекъсват системите за пренос и разпределение на електроенергия чрез използване на протокола IEC-104.

Появата на COSMICENERGY подчертава тревожна тенденция: намаляващите бариери за навлизане за развитие на нападателни способности в царството на OT. Злонамерени актьори използват знания, придобити от предишни атаки, за да създадат нов и усъвършенстван злонамерен софтуер, създавайки значителни рискове за критичната инфраструктура.

Натрапчивите възможности на зловредния софтуер COSMICENERGY

Зловредният софтуер COSMICENERGY споделя прилики с инцидента с INDUSTROYER от 2016 г. по отношение на своите възможности и стратегия за атака. По начин, напомнящ на INDUSTROYER, COSMICENERGY използва IEC-104 ON/OFF команди за взаимодействие с отдалечени терминални устройства (RTU), потенциално използвайки MSSQL сървър като тръбопроводна система за достъп до инфраструктурата на операционната технология (OT). Получавайки този достъп, нападателят може дистанционно да манипулира превключватели на електропроводи и прекъсвачи, което води до прекъсване на захранването. COSMICENERGY се състои от два основни компонента: PIEHOP и LIGHTWORK.

PIEHOP, написан на Python и пакетиран с PyInstaller, служи като инструмент за прекъсване. Той е способен да установява връзки с предоставени от потребителя отдалечени MSSQL сървъри, позволявайки качване на файлове и издаване на отдалечени команди към RTU. PIEHOP разчита на LIGHTWORK, за да изпрати IEC-104 команди, по-специално „ON“ или „OFF“, към целевата система. След подаване на командата изпълнимият файл се изтрива незабавно. Получената извадка от PIEHOP обаче показва програмни логически грешки, които му пречат да изпълни успешно своите IEC-104 възможности за управление. Въпреки това изследователите смятат, че тези грешки могат лесно да бъдат коригирани от разработчиците на заплахата.

От друга страна, LIGHTWORK, написан на C++, функционира като инструмент за прекъсване, който прилага протокола IEC-104 за промяна на състоянието на RTU през TCP. Той създава адаптивни IEC-104 Application Service Data Unit (ASDU) съобщения, за да промени състоянието на RTU Information Object Addresses (IOA) на „ON“ или „OFF“. LIGHTWORK използва позиционни аргументи на командния ред, за да посочи целевото устройство, порт и IEC-104 команда.

COSMICENERGY показва забележимо отсъствие на възможности за откриване, което показва, че операторът на зловреден софтуер ще трябва да извърши вътрешно разузнаване, преди да започне успешна атака. Тази фаза на разузнаване включва събиране на специфична информация за околната среда, включително IP адреси на MSSQL сървър, MSSQL идентификационни данни и IP адреси на целеви IEC-104 устройства.

Прилики между COSMICENERGY и други злонамерени заплахи

Въпреки че COSMICENERGY се различава от известните фамилии злонамерен софтуер, неговите възможности демонстрират забележими прилики с тези, наблюдавани при предишни инциденти. По-специално, изследователите отбелязват значителни прилики между COSMICENERGY и вариантите на злонамерен софтуер INDUSTROYER и INDUSTROYER.V2, като и двата преди това са били внедрени, за да прекъсват системите за пренос и разпределение на електроенергия.

В допълнение към приликите с INDUSTROYER, COSMICENERGY споделя технически характеристики с други фамилии зловреден софтуер за оперативни технологии (OT). Тези прилики включват използването на Python за разработка или пакетиране и използването на библиотеки с отворен код за прилагане на OT протоколи. Известни фамилии зловреден софтуер на OT, които показват тези технически прилики, включват IRONGATE, TRITON и INCONTROLLER.

Чрез изследване на тези прилики, професионалистите по сигурността могат да придобият по-задълбочено разбиране на потенциалния произход, техники и последици, свързани с КОСМИЧЕСКАТА ЕНЕРГИЯ.