COSMICENERGY Malware

En nyligt identificeret malware kendt som COSMICENERGY har tiltrukket sig opmærksomhed fra cybersikkerhedsforskere. Denne malware er specifikt rettet mod Operational Technology (OT) og Industrial Control Systems (ICS), med fokus på at forårsage forstyrrelser i el-infrastrukturen. Det opnås ved at udnytte sårbarheder i IEC 60870-5-104 (IEC-104) enheder, især Remote Terminal Units (RTU'er), der almindeligvis anvendes i elektrisk transmission og distribution i hele Europa, Mellemøsten og Asien.

Efter at have analyseret COSMICENERGY har forskere opdaget, at dets funktionaliteter meget ligner dem, der er observeret i tidligere hændelser med malware, såsom INDUSTROYER og INDUSTROYER.V2 . Disse tidligere malware-varianter var specifikt designet til at forstyrre elektricitetstransmissions- og distributionssystemer ved at udnytte IEC-104-protokollen.

Fremkomsten af COSMICENERGY fremhæver en bekymrende tendens: de faldende barrierer for adgang for at udvikle offensive kapaciteter i OT's rige. Ondsindede aktører udnytter viden opnået fra tidligere angreb til at skabe ny og sofistikeret malware, der udgør betydelige risici for kritisk infrastruktur.

COSMICENERGY-malwarens påtrængende egenskaber

COSMICENERGY Malware deler ligheder med INDUSTROYER-hændelsen i 2016 med hensyn til dens muligheder og angrebsstrategi. På en måde, der minder om INDUSTROYER, bruger COSMICENERGY IEC-104 ON/OFF-kommandoer til at interagere med remote terminal units (RTU'er), der potentielt anvender en MSSQL-server som et kanalsystem for at få adgang til operational technology (OT) infrastruktur. Ved at få denne adgang kan en angriber fjernmanipulere strømafbrydere og strømafbrydere, hvilket fører til strømafbrydelser. COSMICENERGY består af to primære komponenter: PIEHOP og LIGHTTWORK.

PIEHOP, skrevet i Python og pakket med PyInstaller, fungerer som et afbrydelsesværktøj. Den er i stand til at etablere forbindelser med brugerleverede fjern-MSSQL-servere, hvilket giver mulighed for filupload og afgivelse af fjernkommandoer til RTU'er. PIEHOP er afhængig af, at LIGHTTWORK sender IEC-104-kommandoer, specifikt 'ON' eller 'OFF', til det målrettede system. Efter udsendelse af kommandoen slettes den eksekverbare omgående. Den opnåede prøve af PIEHOP udviser imidlertid programmeringslogiske fejl, der forhindrer den i at udføre sine IEC-104-styringsfunktioner. Ikke desto mindre mener forskere, at disse fejl let kan rettes af truslens udviklere.

På den anden side fungerer LIGHTTWORK, skrevet i C++, som et afbrydelsesværktøj, der implementerer IEC-104-protokollen til at ændre tilstanden af RTU'er over TCP. Det laver brugerdefinerbare IEC-104 Application Service Data Unit-meddelelser (ASDU) for at ændre tilstanden for RTU Information Object Addresses (IOA) til enten 'ON' eller 'OFF'. LIGHTTWORK bruger positionelle kommandolinjeargumenter til at specificere målenheden, porten og IEC-104-kommandoen.

COSMICENERGY udviser et bemærkelsesværdigt fravær af opdagelsesfunktioner, hvilket indikerer, at malware-operatøren ville være nødt til at udføre en intern rekognoscering, før han lancerer et vellykket angreb. Denne rekognosceringsfase involverer indsamling af specifikke miljøoplysninger, herunder MSSQL-server IP-adresser, MSSQL-legitimationsoplysninger og IP-adresser på målrettede IEC-104-enheder.

Ligheder mellem COSMICENERGY og andre malware-trusler

Selvom COSMICENERGY adskiller sig fra kendte malware-familier, viser dens muligheder bemærkelsesværdige ligheder med dem, der er observeret i tidligere hændelser. Især bemærker forskere betydelige ligheder mellem COSMICENERGY og malware-varianterne INDUSTROYER og INDUSTROYER.V2, som begge tidligere blev indsat for at forstyrre eltransmissions- og distributionssystemer.

Ud over lighederne med INDUSTROYER deler COSMICENERGY tekniske karakteristika med andre familier af operationel teknologi (OT) malware. Disse ligheder inkluderer brugen af Python til udvikling eller pakning og brugen af open source-biblioteker til implementering af OT-protokoller. Bemærkelsesværdige OT-malwarefamilier, der udviser disse tekniske ligheder, omfatter IRONGATE, TRITON og INCONTROLLER.

Ved at undersøge disse ligheder kan sikkerhedsprofessionelle få en dybere forståelse af de potentielle oprindelser, teknikker og implikationer forbundet med COSMICENERGY.