COSMICENERGY pahavara

Hiljuti tuvastatud pahavara, mida tuntakse nime all COSMICENERGY, on pälvinud küberjulgeoleku teadlaste tähelepanu. See pahavara on suunatud konkreetselt operatsioonitehnoloogiale (OT) ja tööstuslikele juhtimissüsteemidele (ICS), keskendudes elektrienergia infrastruktuuri häirete tekitamisele. See saavutatakse, kasutades turvaauke IEC 60870-5-104 (IEC-104) seadmetes, eriti kaugterminalüksustes (RTU), mida tavaliselt kasutatakse elektriülekande ja jaotuse toimingutes Euroopas, Lähis-Idas ja Aasias.

COSMICENERGY analüüsimisel avastasid teadlased, et selle funktsioonid on väga sarnased varasemate pahavaraga seotud juhtumitega, nagu INDUSTROYER ja INDUSTROYER.V2 . Need varasemad pahavara variandid olid spetsiaalselt loodud elektri ülekande- ja jaotussüsteemide katkestamiseks, kasutades protokolli IEC-104.

COSMICENERGY esilekerkimine toob esile murettekitava suundumuse: vähenevad tõkked sisenemisel ründevõime arendamiseks OT valdkonnas. Kurja mõtlemisega tegutsejad kasutavad varasematest rünnetest saadud teadmisi uue ja keeruka pahavara loomiseks, mis seab kriitilisele infrastruktuurile olulisi riske.

COSMICENERGY pahavara pealetükkivad võimalused

COSMICENERGY pahavara jagab oma võimaluste ja ründestrateegia poolest sarnasusi 2016. aasta INDUSTROYERi intsidendiga. INDUSTROYER-i meenutaval viisil kasutab COSMICENERGY IEC-104 ON/OFF käske, et suhelda kaugterminali üksustega (RTU), kasutades potentsiaalselt MSSQL-serverit kanalisüsteemina, et pääseda juurde operatiivtehnoloogia (OT) infrastruktuurile. Selle juurdepääsu saamisel saab ründaja kaugjuhtimisega manipuleerida elektriliinide lülitite ja kaitselülititega, põhjustades voolukatkestusi. COSMICENERGY koosneb kahest põhikomponendist: PIEHOP ja LIGHTTWORK.

PIEHOP, mis on kirjutatud Pythonis ja pakitud PyInstalleriga, toimib häirimistööriistana. See on võimeline looma ühendusi kasutaja tarnitud MSSQL-i kaugserveritega, võimaldades failide üleslaadimist ja RTU-dele kaugkäskude väljastamist. PIEHOP toetub LIGHTTWORK-ile, et saata sihitud süsteemile IEC-104 käsklused, täpsemalt "ON" või "OFF". Pärast käsu väljastamist kustutatakse käivitatav fail kohe. Saadud PIEHOP-i näidis sisaldab aga programmeerimisloogika vigu, mis takistavad sellel IEC-104 juhtimisvõimalusi edukalt täitmast. Sellegipoolest usuvad teadlased, et ohu arendajad saavad need vead kergesti parandada.

Teisest küljest toimib C++ keeles kirjutatud LIGHTTWORK häiretööriistana, mis rakendab protokolli IEC-104, et muuta RTU-de olekut TCP kaudu. See koostab kohandatavad IEC-104 rakendusteenuse andmeüksuse (ASDU) sõnumid, et muuta RTU teabeobjekti aadresside (IOA) olek ON või OFF. LIGHTTWORK kasutab sihtseadme, pordi ja IEC-104 käsu määramiseks positsioonilisi käsurea argumente.

COSMICENERGY-l on märkimisväärne avastamisvõimaluste puudumine, mis näitab, et pahavara operaator peab enne eduka rünnaku käivitamist läbi viima sisemise luure. See tutvumisfaas hõlmab konkreetse keskkonnateabe kogumist, sealhulgas MSSQL-serveri IP-aadresside, MSSQL-mandaatide ja sihitud IEC-104 seadmete IP-aadresside kogumist.

COSMICENERGY ja muude pahavaraohtude sarnasused

Kuigi COSMICENERGY erineb teadaolevatest pahavaraperekondadest, näitavad selle võimalused märkimisväärseid sarnasusi eelmiste juhtumite puhul täheldatuga. Eelkõige märgivad teadlased olulisi sarnasusi COSMICENERGY ning IDUSTROYER ja INDUSTROYER.V2 pahavara variantide vahel, mida mõlemat kasutati varem elektri ülekande- ja jaotussüsteemide katkestamiseks.

Lisaks sarnasustele INDUSTROYERiga jagab COSMICENERGY tehnilisi omadusi teiste operatiivtehnoloogia (OT) pahavara perekondadega. Need sarnasused hõlmavad Pythoni kasutamist arendamiseks või pakendamiseks ja avatud lähtekoodiga teekide kasutamist OT-protokollide rakendamiseks. Märkimisväärsed OT pahavarapered, millel on need tehnilised sarnasused, on IRONGATE, TRITON ja INCONTROLLER.

Neid sarnasusi uurides saavad turbespetsialistid sügavamalt mõista COSMICENERGY võimalikku päritolu, tehnikaid ja tagajärgi.