COSMICENERGY Malware

Nově identifikovaný malware známý jako COSMICENERGY přitáhl pozornost výzkumníků kybernetické bezpečnosti. Tento malware se konkrétně zaměřuje na provozní technologie (OT) a průmyslové řídicí systémy (ICS) a zaměřuje se na narušení infrastruktury elektrické energie. Dosahuje toho využíváním zranitelností v zařízeních IEC 60870-5-104 (IEC-104), zejména vzdálených terminálových jednotkách (RTU), běžně používaných v operacích elektrického přenosu a distribuce v Evropě, na Středním východě a v Asii.

Při analýze COSMICENERGY výzkumníci zjistili, že její funkce se velmi podobají těm, které byly pozorovány u předchozích incidentů zahrnujících malware, jako jsou INDUSTROYER a INDUSTROYER.V2 . Tyto minulé varianty malwaru byly speciálně navrženy k narušení systémů přenosu a distribuce elektřiny pomocí protokolu IEC-104.

Vznik COSMICENERGY zdůrazňuje znepokojivý trend: snižující se překážky vstupu pro rozvoj útočných schopností v oblasti OT. Zlomyslní aktéři využívají znalosti získané z předchozích útoků k vytváření nového a sofistikovaného malwaru, který představuje značné riziko pro kritickou infrastrukturu.

Rušivé schopnosti malwaru COSMICENERGY

COSMICENERGY Malware sdílí podobnosti s incidentem INDUSTROYER z roku 2016, pokud jde o jeho schopnosti a strategii útoku. Způsobem připomínajícím INDUSTROYER využívá COSMICENERGY příkazy IEC-104 ON/OFF k interakci se vzdálenými koncovými jednotkami (RTU), přičemž potenciálně využívá server MSSQL jako systém vedení pro přístup k infrastruktuře provozních technologií (OT). Získáním tohoto přístupu může útočník na dálku manipulovat s vypínači a jističi elektrického vedení, což vede k výpadkům napájení. COSMICENERGY se skládá ze dvou primárních složek: PIEHOP a LIGHTWORK.

PIEHOP, napsaný v Pythonu a zabalený s PyInstaller, slouží jako nástroj narušení. Je schopen navázat spojení s uživatelem dodanými vzdálenými servery MSSQL, což umožňuje nahrávání souborů a vydávání vzdálených příkazů RTU. PIEHOP spoléhá na LIGHTWORK při odesílání příkazů IEC-104, konkrétně „ON“ nebo „OFF“, do cílového systému. Po zadání příkazu je spustitelný soubor okamžitě odstraněn. Získaný vzorek PIEHOP však vykazuje chyby programovací logiky, které mu brání v úspěšném provedení jeho řídicích schopností IEC-104. Výzkumníci se nicméně domnívají, že tyto chyby mohou vývojáři hrozby snadno napravit.

Na druhou stranu, LIGHTWORK, napsaný v C++, funguje jako nástroj pro přerušení, který implementuje protokol IEC-104 pro úpravu stavu RTU přes TCP. Vytváří přizpůsobitelné zprávy IEC-104 Application Service Data Unit (ASDU) ke změně stavu adres RTU Information Object Addresses (IOA) na „ON“ nebo „OFF“. LIGHTWORK využívá poziční argumenty příkazového řádku k určení cílového zařízení, portu a příkazu IEC-104.

COSMICENERGY vykazuje pozoruhodnou absenci vyhledávacích schopností, což naznačuje, že operátor malwaru by musel před zahájením úspěšného útoku provést interní průzkum. Tato fáze průzkumu zahrnuje shromažďování specifických informací o prostředí, včetně IP adres serveru MSSQL, přihlašovacích údajů MSSQL a IP adres cílových zařízení IEC-104.

Podobnosti mezi COSMICENERGY a jinými hrozbami malwaru

Přestože se COSMICENERGY liší od známých rodin malwaru, její schopnosti vykazují pozoruhodné podobnosti s těmi, které byly pozorovány v předchozích incidentech. Výzkumníci zaznamenali zejména významné podobnosti mezi COSMICENERGY a variantami malwaru INDUSTROYER a INDUSTROYER.V2, které byly dříve nasazeny k narušení systémů přenosu a distribuce elektřiny.

Kromě podobností s INDUSTROYER, COSMICENERGY sdílí technické vlastnosti s jinými rodinami malwaru operačních technologií (OT). Tyto podobnosti zahrnují použití Pythonu pro vývoj nebo balení a využití open-source knihoven pro implementaci OT protokolů. Mezi pozoruhodné rodiny malwaru OT, které vykazují tyto technické podobnosti, patří IRONGATE, TRITON a INCONTROLLER.

Zkoumáním těchto podobností mohou bezpečnostní profesionálové získat hlubší pochopení potenciálního původu, technik a důsledků spojených s COSMICENERGY.