بدافزار COSMICENERGY
بدافزار تازه شناسایی شده به نام COSMICENERGY توجه محققان امنیت سایبری را به خود جلب کرده است. این بدافزار به طور خاص فناوری عملیاتی (OT) و سیستمهای کنترل صنعتی (ICS) را هدف قرار میدهد که بر ایجاد اختلال در زیرساختهای برق تمرکز دارد. این امر با بهرهبرداری از آسیبپذیریها در دستگاههای IEC 60870-5-104 (IEC-104)، بهویژه واحدهای پایانه راه دور (RTU) که معمولاً در عملیات انتقال و توزیع برق در سراسر اروپا، خاورمیانه و آسیا استفاده میشوند، به دست میآید.
پس از تجزیه و تحلیل COSMICENERGY، محققان دریافتند که عملکردهای آن بسیار شبیه به موارد مشاهده شده در حوادث قبلی مربوط به بدافزار، مانند INDUSTROYER و INDUSTROYER.V2 است. این بدافزارهای قبلی به طور خاص برای ایجاد اختلال در سیستمهای انتقال و توزیع برق با بهرهبرداری از پروتکل IEC-104 طراحی شدهاند.
ظهور COSMICENERGY یک روند نگران کننده را برجسته می کند: کاهش موانع ورود برای توسعه قابلیت های تهاجمی در قلمرو OT. بازیگران بد اندیش از دانش به دست آمده از حملات قبلی برای ایجاد بدافزار جدید و پیچیده استفاده می کنند که خطرات قابل توجهی را برای زیرساخت های حیاتی ایجاد می کند.
قابلیت های نفوذی بدافزار COSMICENERGY
بدافزار COSMICENERGY از نظر قابلیت ها و استراتژی حمله شباهت هایی با حادثه INDUSTROYER 2016 دارد. به روشی که یادآور INDUSTROYER است، COSMICENERGY از دستورات IEC-104 ON/OFF برای تعامل با واحدهای ترمینال راه دور (RTUs) استفاده می کند، که به طور بالقوه از یک سرور MSSQL به عنوان یک سیستم مجرا برای دسترسی به زیرساخت فناوری عملیاتی (OT) استفاده می کند. با به دست آوردن این دسترسی، مهاجم می تواند از راه دور کلیدهای خطوط برق و قطع کننده های مدار را دستکاری کند که منجر به قطع برق می شود. COSMICENERGY از دو جزء اصلی تشکیل شده است: PIEHOP و LIGHTWORK.
PIEHOP که در پایتون نوشته شده و با PyInstaller بسته بندی شده است، به عنوان یک ابزار اختلال عمل می کند. این می تواند با سرورهای MSSQL راه دور ارائه شده توسط کاربر ارتباط برقرار کند و امکان آپلود فایل و صدور دستورات از راه دور را برای RTU ها فراهم کند. PIEHOP برای ارسال دستورات IEC-104، به ویژه «ON» یا «OFF» به سیستم هدف، به LIGHTWORK متکی است. پس از صدور دستور، فایل اجرایی به سرعت حذف می شود. با این حال، نمونه بهدستآمده از PIEHOP خطاهای منطقی برنامهنویسی را نشان میدهد که مانع از اجرای موفقیتآمیز قابلیتهای کنترل IEC-104 خود میشود. با این وجود، محققان بر این باورند که توسعه دهندگان تهدید می توانند به راحتی این خطاها را اصلاح کنند.
از سوی دیگر، LIGHTWORK که در C++ نوشته شده است، به عنوان یک ابزار اختلال عمل می کند که پروتکل IEC-104 را برای تغییر وضعیت RTU ها روی TCP پیاده سازی می کند. پیامهای واحد داده خدمات کاربردی (ASDU) قابل تنظیم IEC-104 را برای تغییر وضعیت آدرسهای اشیاء اطلاعاتی RTU (IOA) به «روشن» یا «خاموش» ایجاد میکند. LIGHTWORK از آرگومان های خط فرمان موقعیتی برای تعیین دستگاه هدف، پورت و دستور IEC-104 استفاده می کند.
COSMICENERGY فقدان قابلتوجهی از قابلیتهای کشف را نشان میدهد، که نشان میدهد اپراتور بدافزار باید قبل از انجام یک حمله موفق، یک شناسایی داخلی انجام دهد. این مرحله شناسایی شامل جمع آوری اطلاعات محیطی خاص، از جمله آدرس های IP سرور MSSQL، اعتبارنامه های MSSQL و آدرس های IP دستگاه های مورد نظر IEC-104 است.
شباهت های بین COSMICENERGY و سایر تهدیدات بدافزار
در حالی که COSMICENERGY از خانواده بدافزارهای شناخته شده متمایز است، قابلیت های آن شباهت های قابل توجهی را با موارد مشاهده شده در حوادث قبلی نشان می دهد. به ویژه، محققان به شباهت های قابل توجهی بین COSMICENERGY و انواع بدافزار INDUSTROYER و INDUSTROYER.V2 اشاره می کنند که هر دو قبلاً برای ایجاد اختلال در سیستم های انتقال و توزیع برق به کار گرفته شده بودند.
علاوه بر شباهتها با INDUSTROYER، COSMICENERGY ویژگیهای فنی را با سایر خانوادههای بدافزار فناوری عملیاتی (OT) به اشتراک میگذارد. این شباهت ها شامل استفاده از پایتون برای توسعه یا بسته بندی و استفاده از کتابخانه های منبع باز برای پیاده سازی پروتکل های OT است. خانوادههای بدافزار OT قابل توجهی که این شباهتهای فنی را نشان میدهند عبارتند از IRONGATE، TRITON و INCONTROLLER.
با بررسی این شباهت ها، متخصصان امنیتی می توانند درک عمیق تری از ریشه ها، تکنیک ها و پیامدهای بالقوه مرتبط با COSMICENERGY به دست آورند.