Programari maliciós COSMICENERGY

Un programari maliciós recentment identificat conegut com a COSMICENERGY ha cridat l'atenció dels investigadors de ciberseguretat. Aquest programari maliciós s'adreça específicament a la tecnologia operativa (OT) i als sistemes de control industrial (ICS), centrant-se a causar interrupcions en la infraestructura d'energia elèctrica. Ho aconsegueix aprofitant les vulnerabilitats dels dispositius IEC 60870-5-104 (IEC-104), en particular les unitats terminals remotes (RTU) que s'utilitzen habitualment en les operacions de transmissió i distribució elèctrica a Europa, Orient Mitjà i Àsia.

En analitzar COSMICENERGY, els investigadors han descobert que les seves funcionalitats s'assemblen molt a les observades en incidents anteriors amb programari maliciós, com INDUSTROYER i INDUSTROYER.V2 . Aquestes variants de programari maliciós anteriors es van dissenyar específicament per interrompre els sistemes de transmissió i distribució d'electricitat mitjançant l'explotació del protocol IEC-104.

L'aparició de COSMICENERGY posa de manifest una tendència preocupant: la disminució de les barreres d'entrada per desenvolupar capacitats ofensives en l'àmbit de l'OT. Els actors malintencionats estan aprofitant el coneixement obtingut d'atacs anteriors per crear programari maliciós nou i sofisticat, que comporta riscos significatius per a la infraestructura crítica.

Les capacitats intrusives del programari maliciós COSMICENERGY

El programari maliciós COSMICENERGY comparteix similituds amb l'incident INDUSTROYER del 2016 pel que fa a les seves capacitats i estratègia d'atac. D'una manera que recorda a INDUSTROYER, COSMICENERGY utilitza ordres ON/OFF IEC-104 per interactuar amb unitats terminals remotes (RTU), potencialment utilitzant un servidor MSSQL com a sistema de conducte per accedir a la infraestructura de tecnologia operativa (OT). En obtenir aquest accés, un atacant pot manipular de forma remota els interruptors de la línia elèctrica i els interruptors de circuit, provocant interrupcions de l'alimentació. COSMICENERGY consta de dos components principals: PIEHOP i LIGHTWORK.

PIEHOP, escrit en Python i empaquetat amb PyInstaller, serveix com a eina de interrupció. És capaç d'establir connexions amb servidors MSSQL remots subministrats per l'usuari, permetent la càrrega de fitxers i l'emissió d'ordres remotes a les RTU. PIEHOP confia en LIGHTWORK per enviar ordres IEC-104, específicament "ON" o "OFF", al sistema de destinació. Després d'emetre l'ordre, l'executable s'elimina ràpidament. Tanmateix, la mostra obtinguda de PIEHOP presenta errors de lògica de programació que li impedeixen executar amb èxit les seves capacitats de control IEC-104. No obstant això, els investigadors creuen que aquests errors es poden rectificar fàcilment pels desenvolupadors de l'amenaça.

D'altra banda, LIGHTWORK, escrit en C++, funciona com una eina de interrupció que implementa el protocol IEC-104 per modificar l'estat de les RTU sobre TCP. Crea missatges personalitzables de la unitat de dades del servei d'aplicacions (ASDU) IEC-104 per alterar l'estat de les adreces d'objectes d'informació (IOA) RTU a "ON" o "OFF". LIGHTWORK utilitza arguments de línia d'ordres posicionals per especificar el dispositiu de destinació, el port i l'ordre IEC-104.

COSMICENERGY mostra una notable absència de capacitats de descobriment, cosa que indica que l'operador de programari maliciós hauria de realitzar un reconeixement intern abans de llançar un atac amb èxit. Aquesta fase de reconeixement implica recopilar informació específica de l'entorn, incloses les adreces IP del servidor MSSQL, les credencials MSSQL i les adreces IP dels dispositius IEC-104 destinats.

Similituds entre COSMICENERGY i altres amenaces de programari maliciós

Tot i que COSMICENERGY és diferent de les famílies de programari maliciós conegudes, les seves capacitats mostren similituds notables amb les observades en incidents anteriors. En particular, els investigadors observen semblances significatives entre COSMICENERGY i les variants de programari maliciós INDUSTROYER i INDUSTROYER.V2, ambdues implementades anteriorment per interrompre els sistemes de transmissió i distribució d'electricitat.

A més de les similituds amb INDUSTROYER, COSMICENERGY comparteix característiques tècniques amb altres famílies de programari maliciós de tecnologia operativa (OT). Aquestes similituds inclouen l'ús de Python per al desenvolupament o l'empaquetament i la utilització de biblioteques de codi obert per implementar protocols OT. Les famílies de programari maliciós OT notables que presenten aquestes semblances tècniques inclouen IRONGATE, TRITON i INCONTROLLER.

En examinar aquestes similituds, els professionals de la seguretat poden obtenir una comprensió més profunda dels possibles orígens, tècniques i implicacions associades a COSMICENERGY.