COSMICENERGY मालवेयर

COSMICENERGY नामक एक नए पहचाने गए मैलवेयर ने साइबर सुरक्षा शोधकर्ताओं का ध्यान खींचा है। यह मैलवेयर विशेष रूप से ऑपरेशनल टेक्नोलॉजी (OT) और इंडस्ट्रियल कंट्रोल सिस्टम्स (ICS) को लक्षित करता है, जो इलेक्ट्रिक पावर इंफ्रास्ट्रक्चर में व्यवधान पैदा करने पर ध्यान केंद्रित करता है। यह IEC 60870-5-104 (IEC-104) उपकरणों, विशेष रूप से रिमोट टर्मिनल यूनिट्स (RTUs) में कमजोरियों का दोहन करके इसे प्राप्त करता है, जो आमतौर पर पूरे यूरोप, मध्य पूर्व और एशिया में विद्युत प्रसारण और वितरण कार्यों में उपयोग किया जाता है।

COSMICENERGY का विश्लेषण करने पर, शोधकर्ताओं ने पाया है कि इसकी कार्यप्रणाली, INDUSTROYER और INDUSTROYER.V2 जैसी मैलवेयर से जुड़ी पिछली घटनाओं में देखी गई कार्यप्रणाली से बहुत मिलती-जुलती है। इन पिछले मैलवेयर वेरिएंट को विशेष रूप से IEC-104 प्रोटोकॉल का उपयोग करके विद्युत संचरण और वितरण प्रणाली को बाधित करने के लिए डिज़ाइन किया गया था।

COSMICENERGY का उद्भव एक संबंधित प्रवृत्ति पर प्रकाश डालता है: ओटी के दायरे में आक्रामक क्षमताओं को विकसित करने के लिए प्रवेश की घटती बाधाएं। दुष्ट दिमाग वाले अभिनेता नए और परिष्कृत मैलवेयर बनाने के लिए पिछले हमलों से प्राप्त ज्ञान का लाभ उठा रहे हैं, जो महत्वपूर्ण बुनियादी ढांचे के लिए महत्वपूर्ण जोखिम पैदा कर रहे हैं।

COSMICENERGY मालवेयर की दखलंदाजी क्षमताएं

COSMICENERGY मैलवेयर अपनी क्षमताओं और हमले की रणनीति के मामले में 2016 की उद्योग घटना के साथ समानताएं साझा करता है। इंडस्ट्रीयर की याद दिलाने वाले तरीके से, कॉस्मिक एनर्जी दूरस्थ टर्मिनल इकाइयों (आरटीयू) के साथ बातचीत करने के लिए आईईसी-104 ऑन/ऑफ कमांड का उपयोग करती है, संभावित रूप से परिचालन प्रौद्योगिकी (ओटी) आधारभूत संरचना तक पहुंचने के लिए एमएसएसएलएल सर्वर को एक नाली प्रणाली के रूप में नियोजित करती है। इस पहुंच को प्राप्त करके, एक हमलावर दूरस्थ रूप से पावर लाइन स्विच और सर्किट ब्रेकर में हेरफेर कर सकता है, जिससे बिजली की गड़बड़ी हो सकती है। कॉस्मिक एनर्जी में दो प्राथमिक घटक होते हैं: पाइहॉप और लाइटवर्क।

PIEHOP, Python में लिखा गया और PyInstaller के साथ पैक किया गया, एक व्यवधान उपकरण के रूप में कार्य करता है। यह उपयोगकर्ता द्वारा आपूर्ति किए गए दूरस्थ MSSQL सर्वर के साथ कनेक्शन स्थापित करने में सक्षम है, फ़ाइल अपलोड की अनुमति देता है और RTUs को दूरस्थ आदेश जारी करता है। PIEHOP लक्षित सिस्टम को IEC-104 कमांड, विशेष रूप से 'चालू' या 'बंद' भेजने के लिए लाइटवर्क पर निर्भर करता है। आदेश जारी करने के बाद, निष्पादन योग्य तुरंत हटा दिया जाता है। हालाँकि, PIEHOP का प्राप्त नमूना प्रोग्रामिंग लॉजिक त्रुटियों को प्रदर्शित करता है जो इसे IEC-104 नियंत्रण क्षमताओं को सफलतापूर्वक निष्पादित करने से रोकता है। बहरहाल, शोधकर्ताओं का मानना है कि खतरे के डेवलपर्स द्वारा इन त्रुटियों को आसानी से ठीक किया जा सकता है।

दूसरी ओर, C++ में लिखा गया LIGHTWORK, एक व्यवधान उपकरण के रूप में कार्य करता है जो TCP पर RTUs की स्थिति को संशोधित करने के लिए IEC-104 प्रोटोकॉल को लागू करता है। यह अनुकूलन योग्य IEC-104 एप्लिकेशन सर्विस डेटा यूनिट (ASDU) संदेशों को RTU सूचना ऑब्जेक्ट एड्रेस (IOAs) की स्थिति को 'चालू' या 'बंद' में बदलने के लिए तैयार करता है। LIGHTWORK लक्ष्य डिवाइस, पोर्ट और IEC-104 कमांड को निर्दिष्ट करने के लिए स्थितीय कमांड लाइन तर्कों का उपयोग करता है।

COSMICENERGY खोज क्षमताओं की एक उल्लेखनीय अनुपस्थिति प्रदर्शित करता है, यह दर्शाता है कि मैलवेयर ऑपरेटर को सफल हमले शुरू करने से पहले एक आंतरिक टोह लेने की आवश्यकता होगी। इस टोही चरण में MSSQL सर्वर IP पते, MSSQL क्रेडेंशियल्स और लक्षित IEC-104 उपकरणों के IP पते सहित विशिष्ट पर्यावरण जानकारी एकत्र करना शामिल है।

कॉस्मिक एनर्जी और अन्य मैलवेयर खतरों के बीच समानताएं

जबकि COSMICENERGY ज्ञात मैलवेयर परिवारों से अलग है, इसकी क्षमताएं पिछली घटनाओं में देखी गई समानताओं को प्रदर्शित करती हैं। विशेष रूप से, शोधकर्ताओं ने COSMICENERGY और INDUSTROYER और INDUSTROYER.V2 मालवेयर वेरिएंट के बीच महत्वपूर्ण समानताएं नोट की हैं, जिनमें से दोनों को पहले बिजली संचरण और वितरण प्रणालियों को बाधित करने के लिए तैनात किया गया था।

इंडस्ट्रीयर के साथ समानता के अलावा, कॉस्मिक एनर्जी परिचालन प्रौद्योगिकी (ओटी) मैलवेयर के अन्य परिवारों के साथ तकनीकी विशेषताओं को साझा करती है। इन समानताओं में विकास या पैकेजिंग के लिए पायथन का उपयोग और ओटी प्रोटोकॉल को लागू करने के लिए ओपन सोर्स लाइब्रेरी का उपयोग शामिल है। उल्लेखनीय ओटी मालवेयर परिवार जो इन तकनीकी समानता को प्रदर्शित करते हैं उनमें शामिल हैं आयरनगेट, TRITON और इनकंट्रोलर।

इन समानताओं की जांच करके, सुरक्षा पेशेवर COSMICENERGY से जुड़े संभावित मूल, तकनीकों और निहितार्थों की गहरी समझ हासिल कर सकते हैं।