COSMICENERGY Haittaohjelma

Äskettäin tunnistettu COSMICENERGY-haittaohjelma on kiinnittänyt kyberturvallisuuden tutkijoiden huomion. Tämä haittaohjelma kohdistuu erityisesti Operational Technology (OT) ja Industrial Control Systems (ICS) -järjestelmiin keskittyen häiriöiden aiheuttamiseen sähkövoimainfrastruktuurissa. Se saavuttaa tämän hyödyntämällä haavoittuvuuksia IEC 60870-5-104 (IEC-104) -laitteissa, erityisesti etäpääteyksiköissä (RTU), joita käytetään yleisesti sähkönsiirrossa ja jakelussa Euroopassa, Lähi-idässä ja Aasiassa.

Analysoidessaan COSMICENERGYa tutkijat ovat havainneet, että sen toiminnot muistuttavat läheisesti aiemmissa haittaohjelmissa havaittuja, kuten INDUSTROYER ja INDUSTROYER.V2 . Nämä aiemmat haittaohjelmaversiot on suunniteltu erityisesti häiritsemään sähkön siirto- ja jakelujärjestelmiä hyödyntämällä IEC-104-protokollaa.

COSMICENERGYn ilmaantuminen korostaa huolestuttavaa suuntausta: hyökkäyksen kykyjen kehittämisen markkinoille pääsyn esteiden väheneminen OT:n alueella. Huonosti ajattelevat toimijat hyödyntävät aiemmista hyökkäyksistä saatua tietoa luodakseen uusia ja kehittyneitä haittaohjelmia, jotka aiheuttavat merkittäviä riskejä kriittiselle infrastruktuurille.

COSMICENERGY-haittaohjelman tunkeilevat ominaisuudet

COSMICENERGY-haittaohjelmalla on ominaisuuksiltaan ja hyökkäysstrategialtaan yhtäläisyyksiä vuoden 2016 IDUSTROYER-tapahtuman kanssa. INDUSTROYERiä muistuttavalla tavalla COSMICENERGY käyttää IEC-104 ON/OFF-komentoja ollakseen vuorovaikutuksessa etäpääteyksiköiden (RTU) kanssa. Se voi mahdollisesti käyttää MSSQL-palvelinta kanavajärjestelmänä operatiivisen teknologian (OT) infrastruktuurin käyttämiseen. Saatuaan tämän käyttöoikeuden hyökkääjä voi etäkäsitellä sähkölinjojen kytkimiä ja katkaisijoita, mikä johtaa sähkökatkoihin. COSMICENERGY koostuu kahdesta pääkomponentista: PIEHOP ja LIGHTTWORK.

Pythonilla kirjoitettu ja PyInstalleriin pakattu PIEHOP toimii häiriötyökaluna. Se pystyy muodostamaan yhteyksiä käyttäjän toimittamiin MSSQL-etäpalvelimiin, mahdollistaen tiedostojen lataamisen ja etäkomentojen antamisen RTU:ille. PIEHOP luottaa LIGHTTWORKiin lähettääkseen IEC-104-komennot, erityisesti 'ON' tai 'OFF', kohdejärjestelmään. Komennon antamisen jälkeen suoritettava tiedosto poistetaan välittömästi. Saadussa PIEHOP-näytteessä on kuitenkin ohjelmointilogiikkavirheitä, jotka estävät sitä suorittamasta onnistuneesti IEC-104-ohjausominaisuuksiaan. Siitä huolimatta tutkijat uskovat, että uhan kehittäjät voivat helposti korjata nämä virheet.

Toisaalta C++-kielellä kirjoitettu LIGHTTWORK toimii häiriötyökaluna, joka toteuttaa IEC-104-protokollan muuttamaan RTU:iden tilaa TCP:n kautta. Se muodostaa mukautettavat IEC-104 Application Service Data Unit (ASDU) -viestit muuttaakseen RTU Information Object Addresses (IOA) -tilan joko PÄÄLLÄ tai POIS. LIGHTTWORK käyttää sijaintikomentoriviargumentteja kohdelaitteen, portin ja IEC-104-komennon määrittämiseen.

COSMICENERGY:ssä ei ole havaittavissa olevia havaitsemisominaisuuksia, mikä osoittaa, että haittaohjelmien operaattorin on suoritettava sisäinen tiedustelu ennen onnistuneen hyökkäyksen käynnistämistä. Tämä tiedusteluvaihe sisältää tiettyjen ympäristötietojen keräämisen, mukaan lukien MSSQL-palvelimen IP-osoitteet, MSSQL-tunnistetiedot ja kohdennettujen IEC-104-laitteiden IP-osoitteet.

COSMICENERGYn ja muiden haittaohjelmauhkien väliset yhtäläisyydet

Vaikka COSMICENERGY eroaa tunnetuista haittaohjelmaperheistä, sen ominaisuudet osoittavat huomattavia yhtäläisyyksiä aiemmissa tapahtumissa havaittuihin. Erityisesti tutkijat havaitsevat merkittäviä yhtäläisyyksiä COSMICENERGY:n ja IDUSTROYER- ja IDUSTROYER.V2-haittaohjelmaversioiden välillä, joita molempia käytettiin aiemmin häiritsemään sähkön siirto- ja jakelujärjestelmiä.

INDUSTROYERin samankaltaisuuksien lisäksi COSMICENERGY jakaa tekniset ominaisuudet muiden operatiivisen teknologian (OT) haittaohjelmien kanssa. Näitä yhtäläisyyksiä ovat Pythonin käyttö kehitystyössä tai pakkaamisessa sekä avoimen lähdekoodin kirjastojen käyttö OT-protokollien toteuttamiseen. Merkittäviä OT-haittaohjelmaperheitä, joissa on näitä teknisiä yhtäläisyyksiä, ovat IRONGATE, TRITON ja INCONTROLLER.

Näitä yhtäläisyyksiä tutkimalla tietoturva-ammattilaiset voivat saada syvemmän käsityksen COSMICENERGY:n mahdollisista alkuperästä, tekniikoista ja vaikutuksista.