תוכנה זדונית של COSMICENERGY

תוכנה זדונית שזוהתה לאחרונה המכונה COSMICENERGY משכה את תשומת לבם של חוקרי אבטחת סייבר. תוכנה זדונית זו מכוונת במיוחד לטכנולוגיה תפעולית (OT) ומערכות בקרה תעשייתיות (ICS), תוך התמקדות בגרימת שיבושים בתשתית החשמל. היא משיגה זאת על ידי ניצול נקודות תורפה בהתקני IEC 60870-5-104 (IEC-104), במיוחד יחידות מסוף מרוחקות (RTUs) המשמשות בדרך כלל בפעולות הולכה והפצה חשמליות ברחבי אירופה, המזרח התיכון ואסיה.

לאחר ניתוח COSMICENERGY, חוקרים גילו שהפונקציונליות שלו דומות מאוד לאלו שנצפו בתקריות קודמות הכוללות תוכנות זדוניות, כגון INDUSTROYER ו- INDUSTROYER.V2 . גרסאות תוכנה זדוניות מהעבר הללו תוכננו במיוחד כדי לשבש את מערכות ההולכה וההפצה של חשמל על ידי ניצול פרוטוקול IEC-104.

הופעתה של COSMICENERGY מדגישה מגמה מדאיגה: ירידת חסמי הכניסה לפיתוח יכולות התקפיות בתחום ה-OT. שחקנים מרושעים ממנפים את הידע שנצבר מהתקפות קודמות כדי ליצור תוכנות זדוניות חדשות ומתוחכמות, מה שמציב סיכונים משמעותיים לתשתית קריטית.

היכולות החודרניות של תוכנת זדונית COSMICENERGY

תוכנת ה-COSMICENERGY Malware חולקת קווי דמיון לתקרית INDUSTROYER 2016 מבחינת היכולות ואסטרטגיית ההתקפה שלה. באופן המזכיר את INDUSTROYER, COSMICENERGY משתמשת בפקודות ON/OFF של IEC-104 כדי ליצור אינטראקציה עם יחידות מסוף מרוחקות (RTU), תוך שימוש בשרת MSSQL כמערכת צינורות לגישה לתשתית טכנולוגית תפעולית (OT). על ידי השגת גישה זו, תוקף יכול לתפעל מרחוק מתגי קו מתח ומפסקי חשמל, מה שיוביל להפרעות חשמל. COSMICENERGY מורכבת משני מרכיבים עיקריים: PIEHOP ו-LIGHTTWORK.

PIEHOP, שנכתב ב-Python וארוז עם PyInstaller, משמש ככלי שיבוש. הוא מסוגל ליצור חיבורים עם שרתי MSSQL מרוחקים שסופקו על ידי המשתמש, מה שמאפשר העלאת קבצים והנפקת פקודות מרוחקות ל-RTUs. PIEHOP מסתמך על LIGHTTWORK כדי לשלוח פקודות IEC-104, במיוחד 'ON' או 'OFF', למערכת היעד. לאחר הוצאת הפקודה, קובץ ההפעלה נמחק מיד. עם זאת, המדגם שהושג של PIEHOP מציג שגיאות לוגיות תכנות המונעות ממנו לבצע בהצלחה את יכולות הבקרה שלו IEC-104. אף על פי כן, חוקרים מאמינים כי שגיאות אלו ניתנות לתיקון בקלות על ידי מפתחי האיום.

מצד שני, LIGHTTWORK, שנכתב ב-C++, מתפקד ככלי שיבוש המיישם את פרוטוקול IEC-104 כדי לשנות את המצב של RTUs על TCP. הוא יוצר הודעות IEC-104 Application Service Data Unit (ASDU) הניתנות להתאמה אישית כדי לשנות את מצב כתובות אובייקט המידע של RTU (IOAs) ל'ON' או 'OFF'. LIGHTTWORK משתמש בארגומנטים של שורת פקודה מיקום כדי לציין את התקן היעד, היציאה ופקודת IEC-104.

COSMICENERGY מציג היעדר בולט של יכולות גילוי, מה שמעיד על כך שמפעיל התוכנה הזדונית יצטרך לבצע סיור פנימי לפני שיגור מתקפה מוצלחת. שלב הסיור הזה כולל איסוף מידע סביבתי ספציפי, כולל כתובות IP של שרת MSSQL, אישורי MSSQL וכתובות IP של התקני IEC-104 ממוקדים.

קווי דמיון בין COSMICENERGY לאיומי תוכנה זדונית אחרים

בעוד ש-COSMICENERGY נבדלת ממשפחות תוכנות זדוניות מוכרות, היכולות שלה מדגימות קווי דמיון בולטים לאלו שנצפו בתקריות קודמות. במיוחד, החוקרים מציינים דמיון משמעותי בין COSMICENERGY לבין גרסאות התוכנות הזדוניות INDUSTROYER ו-INDUSTROYER.V2, ששניהם נפרסו בעבר כדי לשבש את מערכות ההולכה וההפצה של חשמל.

בנוסף לדמיון עם INDUSTROYER, COSMICENERGY חולקת מאפיינים טכניים עם משפחות אחרות של תוכנות זדוניות בטכנולוגיה תפעולית (OT). קווי דמיון אלה כוללים את השימוש ב-Python לפיתוח או אריזה ושימוש בספריות קוד פתוח להטמעת פרוטוקולי OT. משפחות תוכנות זדוניות בולטות של OT המציגות דמיון טכני אלה כוללות IRONGATE, TRITON ו-INCONTROLLER.

על ידי בחינת קווי הדמיון הללו, אנשי מקצוע בתחום האבטחה יכולים לקבל הבנה מעמיקה יותר של המקורות, הטכניקות וההשלכות הפוטנציאליות הקשורות ל-COSMICENERGY.