COSMICENERGY Malware

Novootkriveni malware poznat kao COSMICENERGY privukao je pozornost istraživača kibernetičke sigurnosti. Ovaj malware posebno cilja na operativnu tehnologiju (OT) i industrijske upravljačke sustave (ICS), fokusirajući se na izazivanje poremećaja u elektroenergetskoj infrastrukturi. To postiže iskorištavanjem ranjivosti u IEC 60870-5-104 (IEC-104) uređajima, posebno udaljenim terminalnim jedinicama (RTU) koje se obično koriste u operacijama prijenosa i distribucije električne energije diljem Europe, Bliskog istoka i Azije.

Nakon analize COSMICENERGY-a, istraživači su otkrili da njegove funkcionalnosti vrlo nalikuju onima uočenim u prethodnim incidentima koji uključuju malware, kao što su INDUSTROYER i INDUSTROYER.V2 . Ove prethodne varijante zlonamjernog softvera bile su posebno dizajnirane za ometanje sustava prijenosa i distribucije električne energije iskorištavanjem IEC-104 protokola.

Pojava KOZMIČKE ENERGIJE naglašava zabrinjavajući trend: smanjenje prepreka za ulazak u razvoj napadačkih sposobnosti u području OT-a. Zlonamjerni akteri iskorištavaju znanje stečeno prethodnim napadima za stvaranje novog i sofisticiranog zlonamjernog softvera, predstavljajući značajne rizike za kritičnu infrastrukturu.

Nametljive mogućnosti zlonamjernog softvera COSMICENERGY

Zlonamjerni softver COSMICENERGY dijeli sličnosti s incidentom INDUSTROYER iz 2016. u smislu svojih mogućnosti i strategije napada. Na način koji podsjeća na INDUSTROYER, COSMICENERGY koristi IEC-104 ON/OFF naredbe za interakciju s udaljenim terminalnim jedinicama (RTU), potencijalno koristeći MSSQL poslužitelj kao kanalni sustav za pristup infrastrukturi operativne tehnologije (OT). Dobivanjem ovog pristupa, napadač može daljinski manipulirati prekidačima i prekidačima strujnog voda, što dovodi do prekida napajanja. COSMICENERGY se sastoji od dvije osnovne komponente: PIEHOP i LIGHTWORK.

PIEHOP, napisan u Pythonu i upakiran s PyInstallerom, služi kao alat za ometanje. Sposoban je uspostaviti veze s korisničkim udaljenim MSSQL poslužiteljima, omogućujući učitavanje datoteka i izdavanje udaljenih naredbi RTU-ovima. PIEHOP se oslanja na LIGHTWORK za slanje IEC-104 naredbi, posebno 'ON' ili 'OFF', ciljanom sustavu. Nakon izdavanja naredbe, izvršna datoteka se odmah briše. Međutim, dobiveni uzorak PIEHOP-a pokazuje programske logičke pogreške koje ga sprječavaju u uspješnom izvršavanju svojih IEC-104 kontrolnih mogućnosti. Ipak, istraživači vjeruju da ove pogreške mogu lako ispraviti programeri prijetnje.

S druge strane, LIGHTWORK, napisan u C++, funkcionira kao alat za ometanje koji implementira IEC-104 protokol za modificiranje stanja RTU-ova preko TCP-a. Izrađuje prilagodljive IEC-104 Application Service Data Unit (ASDU) poruke za promjenu stanja RTU Information Object Address (IOA) na 'ON' ili 'OFF'. LIGHTWORK koristi položajne argumente naredbenog retka za određivanje ciljanog uređaja, priključka i IEC-104 naredbe.

COSMICENERGY pokazuje primjetan nedostatak mogućnosti otkrivanja, što ukazuje da bi operater zlonamjernog softvera trebao provesti interno izviđanje prije pokretanja uspješnog napada. Ova faza izviđanja uključuje prikupljanje specifičnih informacija o okruženju, uključujući IP adrese MSSQL poslužitelja, MSSQL vjerodajnice i IP adrese ciljanih IEC-104 uređaja.

Sličnosti između COSMICENERGY i drugih prijetnji zlonamjernim softverom

Iako se COSMICENERGY razlikuje od poznatih obitelji zlonamjernih programa, njegove mogućnosti pokazuju značajne sličnosti s onima uočenim u prethodnim incidentima. Posebno, istraživači primjećuju značajne sličnosti između COSMICENERGY-a i varijanti zlonamjernog softvera INDUSTROYER i INDUSTROYER.V2, od kojih su obje prethodno bile postavljene za ometanje sustava prijenosa i distribucije električne energije.

Osim sličnosti s INDUSTROYEROM, COSMICENERGY dijeli tehničke karakteristike s drugim obiteljima zlonamjernog softvera operativne tehnologije (OT). Ove sličnosti uključuju korištenje Pythona za razvoj ili pakiranje i korištenje knjižnica otvorenog koda za implementaciju OT protokola. Značajne OT obitelji malwarea koje pokazuju ove tehničke sličnosti uključuju IRONGATE, TRITON i INCONTROLLER.

Ispitivanjem ovih sličnosti, stručnjaci za sigurnost mogu steći dublje razumijevanje potencijalnog podrijetla, tehnika i implikacija povezanih s KOZMIČKOM ENERGIJOM.