بدافزار COSMICENERGY

بدافزار تازه شناسایی شده به نام COSMICENERGY توجه محققان امنیت سایبری را به خود جلب کرده است. این بدافزار به طور خاص فناوری عملیاتی (OT) و سیستم‌های کنترل صنعتی (ICS) را هدف قرار می‌دهد که بر ایجاد اختلال در زیرساخت‌های برق تمرکز دارد. این امر با بهره‌برداری از آسیب‌پذیری‌ها در دستگاه‌های IEC 60870-5-104 (IEC-104)، به‌ویژه واحدهای پایانه راه دور (RTU) که معمولاً در عملیات انتقال و توزیع برق در سراسر اروپا، خاورمیانه و آسیا استفاده می‌شوند، به دست می‌آید.

پس از تجزیه و تحلیل COSMICENERGY، محققان دریافتند که عملکردهای آن بسیار شبیه به موارد مشاهده شده در حوادث قبلی مربوط به بدافزار، مانند INDUSTROYER و INDUSTROYER.V2 است. این بدافزارهای قبلی به طور خاص برای ایجاد اختلال در سیستم‌های انتقال و توزیع برق با بهره‌برداری از پروتکل IEC-104 طراحی شده‌اند.

ظهور COSMICENERGY یک روند نگران کننده را برجسته می کند: کاهش موانع ورود برای توسعه قابلیت های تهاجمی در قلمرو OT. بازیگران بد اندیش از دانش به دست آمده از حملات قبلی برای ایجاد بدافزار جدید و پیچیده استفاده می کنند که خطرات قابل توجهی را برای زیرساخت های حیاتی ایجاد می کند.

قابلیت های نفوذی بدافزار COSMICENERGY

بدافزار COSMICENERGY از نظر قابلیت ها و استراتژی حمله شباهت هایی با حادثه INDUSTROYER 2016 دارد. به روشی که یادآور INDUSTROYER است، COSMICENERGY از دستورات IEC-104 ON/OFF برای تعامل با واحدهای ترمینال راه دور (RTUs) استفاده می کند، که به طور بالقوه از یک سرور MSSQL به عنوان یک سیستم مجرا برای دسترسی به زیرساخت فناوری عملیاتی (OT) استفاده می کند. با به دست آوردن این دسترسی، مهاجم می تواند از راه دور کلیدهای خطوط برق و قطع کننده های مدار را دستکاری کند که منجر به قطع برق می شود. COSMICENERGY از دو جزء اصلی تشکیل شده است: PIEHOP و LIGHTWORK.

PIEHOP که در پایتون نوشته شده و با PyInstaller بسته بندی شده است، به عنوان یک ابزار اختلال عمل می کند. این می تواند با سرورهای MSSQL راه دور ارائه شده توسط کاربر ارتباط برقرار کند و امکان آپلود فایل و صدور دستورات از راه دور را برای RTU ها فراهم کند. PIEHOP برای ارسال دستورات IEC-104، به ویژه «ON» یا «OFF» به سیستم هدف، به LIGHTWORK متکی است. پس از صدور دستور، فایل اجرایی به سرعت حذف می شود. با این حال، نمونه به‌دست‌آمده از PIEHOP خطاهای منطقی برنامه‌نویسی را نشان می‌دهد که مانع از اجرای موفقیت‌آمیز قابلیت‌های کنترل IEC-104 خود می‌شود. با این وجود، محققان بر این باورند که توسعه دهندگان تهدید می توانند به راحتی این خطاها را اصلاح کنند.

از سوی دیگر، LIGHTWORK که در C++ نوشته شده است، به عنوان یک ابزار اختلال عمل می کند که پروتکل IEC-104 را برای تغییر وضعیت RTU ها روی TCP پیاده سازی می کند. پیام‌های واحد داده خدمات کاربردی (ASDU) قابل تنظیم IEC-104 را برای تغییر وضعیت آدرس‌های اشیاء اطلاعاتی RTU (IOA) به «روشن» یا «خاموش» ایجاد می‌کند. LIGHTWORK از آرگومان های خط فرمان موقعیتی برای تعیین دستگاه هدف، پورت و دستور IEC-104 استفاده می کند.

COSMICENERGY فقدان قابل‌توجهی از قابلیت‌های کشف را نشان می‌دهد، که نشان می‌دهد اپراتور بدافزار باید قبل از انجام یک حمله موفق، یک شناسایی داخلی انجام دهد. این مرحله شناسایی شامل جمع آوری اطلاعات محیطی خاص، از جمله آدرس های IP سرور MSSQL، اعتبارنامه های MSSQL و آدرس های IP دستگاه های مورد نظر IEC-104 است.

شباهت های بین COSMICENERGY و سایر تهدیدات بدافزار

در حالی که COSMICENERGY از خانواده بدافزارهای شناخته شده متمایز است، قابلیت های آن شباهت های قابل توجهی را با موارد مشاهده شده در حوادث قبلی نشان می دهد. به ویژه، محققان به شباهت های قابل توجهی بین COSMICENERGY و انواع بدافزار INDUSTROYER و INDUSTROYER.V2 اشاره می کنند که هر دو قبلاً برای ایجاد اختلال در سیستم های انتقال و توزیع برق به کار گرفته شده بودند.

علاوه بر شباهت‌ها با INDUSTROYER، COSMICENERGY ویژگی‌های فنی را با سایر خانواده‌های بدافزار فناوری عملیاتی (OT) به اشتراک می‌گذارد. این شباهت ها شامل استفاده از پایتون برای توسعه یا بسته بندی و استفاده از کتابخانه های منبع باز برای پیاده سازی پروتکل های OT است. خانواده‌های بدافزار OT قابل توجهی که این شباهت‌های فنی را نشان می‌دهند عبارتند از IRONGATE، TRITON و INCONTROLLER.

با بررسی این شباهت ها، متخصصان امنیتی می توانند درک عمیق تری از ریشه ها، تکنیک ها و پیامدهای بالقوه مرتبط با COSMICENERGY به دست آورند.