Εκπτώσεις πολλαπλών αδειών
Threat Database Malware Κακόβουλο λογισμικό COSMICENERGY

Κακόβουλο λογισμικό COSMICENERGY

Μέχρι το Mezo το Malware
Μετάφραση σε:
Ελληνικά

Ένα νέο κακόβουλο λογισμικό γνωστό ως COSMICENERGY έχει επιστήσει την προσοχή των ερευνητών στον τομέα της κυβερνοασφάλειας. Αυτό το κακόβουλο λογισμικό στοχεύει συγκεκριμένα τη Λειτουργική Τεχνολογία (OT) και τα Συστήματα Βιομηχανικού Ελέγχου (ICS), εστιάζοντας στην πρόκληση διαταραχών στην υποδομή ηλεκτρικής ενέργειας. Το επιτυγχάνει αυτό με την εκμετάλλευση των τρωτών σημείων σε συσκευές IEC 60870-5-104 (IEC-104), ιδιαίτερα τις απομακρυσμένες τερματικές μονάδες (RTU) που χρησιμοποιούνται συνήθως σε εργασίες μεταφοράς και διανομής ηλεκτρικής ενέργειας σε όλη την Ευρώπη, τη Μέση Ανατολή και την Ασία.

Μετά την ανάλυση του COSMICENERGY, οι ερευνητές ανακάλυψαν ότι οι λειτουργίες του μοιάζουν πολύ με εκείνες που παρατηρήθηκαν σε προηγούμενα περιστατικά που αφορούσαν κακόβουλο λογισμικό, όπως το INDUSTROYER και το INDUSTROYER.V2 . Αυτές οι προηγούμενες παραλλαγές κακόβουλου λογισμικού σχεδιάστηκαν ειδικά για να διακόπτουν τα συστήματα μεταφοράς και διανομής ηλεκτρικής ενέργειας εκμεταλλευόμενοι το πρωτόκολλο IEC-104.

Η εμφάνιση του COSMICENERGY αναδεικνύει μια ανησυχητική τάση: τα φθίνοντα εμπόδια εισόδου για την ανάπτυξη επιθετικών δυνατοτήτων στη σφαίρα του OT. Οι κακοπροαίρετοι παράγοντες αξιοποιούν τη γνώση που αποκτήθηκε από προηγούμενες επιθέσεις για να δημιουργήσουν νέο και εξελιγμένο κακόβουλο λογισμικό, θέτοντας σημαντικούς κινδύνους για κρίσιμες υποδομές.

Οι παρεμβατικές δυνατότητες του κακόβουλου λογισμικού COSMICENERGY

Το κακόβουλο λογισμικό COSMICENERGY μοιράζεται ομοιότητες με το περιστατικό INDUSTROYER του 2016 όσον αφορά τις δυνατότητές του και τη στρατηγική επίθεσης. Με τρόπο που θυμίζει INDUSTROYER, η COSMICENERGY χρησιμοποιεί εντολές ON/OFF IEC-104 για να αλληλεπιδρά με απομακρυσμένες τερματικές μονάδες (RTUs), χρησιμοποιώντας ενδεχομένως έναν διακομιστή MSSQL ως σύστημα αγωγών για πρόσβαση σε υποδομή λειτουργικής τεχνολογίας (OT). Με την απόκτηση αυτής της πρόσβασης, ένας εισβολέας μπορεί να χειριστεί εξ αποστάσεως διακόπτες γραμμών ρεύματος και διακόπτες κυκλώματος, οδηγώντας σε διακοπές ρεύματος. Η COSMICENERGY αποτελείται από δύο βασικά στοιχεία: PIEHOP και LIGHTWORK.

Το PIEHOP, γραμμένο σε Python και συσκευασμένο με PyInstaller, χρησιμεύει ως εργαλείο διακοπής. Είναι σε θέση να δημιουργεί συνδέσεις με απομακρυσμένους διακομιστές MSSQL που παρέχονται από τον χρήστη, επιτρέποντας τη μεταφόρτωση αρχείων και την έκδοση απομακρυσμένων εντολών σε RTU. Το PIEHOP βασίζεται στο LIGHTWORK για την αποστολή εντολών IEC-104, συγκεκριμένα 'ON' ή 'OFF' στο στοχευμένο σύστημα. Μετά την έκδοση της εντολής, το εκτελέσιμο διαγράφεται αμέσως. Ωστόσο, το ληφθέν δείγμα του PIEHOP παρουσιάζει σφάλματα λογικής προγραμματισμού που το εμποδίζουν να εκτελέσει με επιτυχία τις δυνατότητες ελέγχου του IEC-104. Ωστόσο, οι ερευνητές πιστεύουν ότι αυτά τα σφάλματα μπορούν εύκολα να διορθωθούν από τους προγραμματιστές της απειλής.

Από την άλλη πλευρά, το LIGHTWORK, γραμμένο σε C++, λειτουργεί ως εργαλείο διακοπής που υλοποιεί το πρωτόκολλο IEC-104 για να τροποποιήσει την κατάσταση των RTU μέσω TCP. Δημιουργεί προσαρμόσιμα μηνύματα IEC-104 Application Service Unit Data Unit (ASDU) για να αλλάξει την κατάσταση των διευθύνσεων αντικειμένων πληροφοριών RTU (IOA) είτε σε "ON" ή "OFF". Το LIGHTWORK χρησιμοποιεί ορίσματα θέσης γραμμής εντολών για να καθορίσει τη συσκευή προορισμού, τη θύρα και την εντολή IEC-104.

Το COSMICENERGY εμφανίζει μια αξιοσημείωτη απουσία δυνατοτήτων ανακάλυψης, υποδεικνύοντας ότι ο χειριστής κακόβουλου λογισμικού θα πρέπει να πραγματοποιήσει μια εσωτερική αναγνώριση πριν ξεκινήσει μια επιτυχημένη επίθεση. Αυτή η φάση αναγνώρισης περιλαμβάνει τη συλλογή συγκεκριμένων πληροφοριών περιβάλλοντος, συμπεριλαμβανομένων των διευθύνσεων IP διακομιστή MSSQL, των διαπιστευτηρίων MSSQL και των διευθύνσεων IP των στοχευμένων συσκευών IEC-104.

Ομοιότητες μεταξύ του COSMICENERGY και άλλων απειλών κακόβουλου λογισμικού

Ενώ το COSMICENERGY διαφέρει από γνωστές οικογένειες κακόβουλου λογισμικού, οι δυνατότητές του δείχνουν αξιοσημείωτες ομοιότητες με εκείνες που παρατηρήθηκαν σε προηγούμενα περιστατικά. Ειδικότερα, οι ερευνητές σημειώνουν σημαντικές ομοιότητες μεταξύ του COSMICENERGY και των παραλλαγών κακόβουλου λογισμικού INDUSTROYER και INDUSTROYER.V2, οι οποίες είχαν χρησιμοποιηθεί στο παρελθόν για να διαταράξουν τα συστήματα μεταφοράς και διανομής ηλεκτρικής ενέργειας.

Εκτός από τις ομοιότητες με το INDUSTROYER, το COSMICENERGY μοιράζεται τεχνικά χαρακτηριστικά με άλλες οικογένειες κακόβουλου λογισμικού λειτουργικής τεχνολογίας (OT). Αυτές οι ομοιότητες περιλαμβάνουν τη χρήση της Python για ανάπτυξη ή συσκευασία και τη χρήση βιβλιοθηκών ανοιχτού κώδικα για την υλοποίηση πρωτοκόλλων OT. Σημαντικές οικογένειες κακόβουλων προγραμμάτων OT που παρουσιάζουν αυτές τις τεχνικές ομοιότητες περιλαμβάνουν τα IRONGATE, TRITON και INCONTROLLER.

Εξετάζοντας αυτές τις ομοιότητες, οι επαγγελματίες ασφάλειας μπορούν να αποκτήσουν μια βαθύτερη κατανόηση της πιθανής προέλευσης, των τεχνικών και των επιπτώσεων που σχετίζονται με το COSMICENERGY.

 

Τάσεις

Περισσότερες εμφανίσεις

Απάτη ηλεκτρονικού ταχυδρομείου «Geek Squad».

Phishing, Spam
15,882
Το Geek Squad, ένας δημοφιλής πάροχος τεχνικής υποστήριξης, έχει πέσει θύμα μιας απάτης ηλεκτρονικού ψαρέματος που ονομάζεται Geek Squad Email Scam. Αυτή η απάτη τεχνικής υποστήριξης χρησιμοποιεί πλαστά μηνύματα ηλεκτρονικού ταχυδρομείου που εξαπατούν τους ανθρώπους να δώσουν τα προσωπικά τους στοιχεία, όπως στοιχεία πιστωτικών καρτών, διευθύνσεις email, ακόμη και αριθμούς κοινωνικής ασφάλισης....
Φόρτωση...