COSMICENERGY Malware

A COSMICENERGY néven újonnan azonosított rosszindulatú program hívta fel a kiberbiztonsági kutatók figyelmét. Ez a kártevő kifejezetten az operatív technológiát (OT) és az ipari vezérlőrendszereket (ICS) célozza meg, és a villamosenergia-infrastruktúra zavarainak okozására összpontosít. Ezt úgy éri el, hogy kihasználja az IEC 60870-5-104 (IEC-104) szabványnak megfelelő eszközök, különösen az európai, a Közel-Keleten és Ázsiában általánosan használt távoli terminálegységeket (RTU) az elektromos átviteli és elosztási műveletekben.

A COSMICENERGY elemzése során a kutatók felfedezték, hogy funkciói nagyon hasonlítanak a rosszindulatú programokkal kapcsolatos korábbi incidenseknél megfigyeltekhez, mint például az INDUSTROYER és az INDUSTROYER.V2 . Ezeket a korábbi rosszindulatú programváltozatokat kifejezetten arra tervezték, hogy az IEC-104 protokollt kihasználva megzavarják a villamosenergia-átviteli és -elosztó rendszereket.

A COSMICENERGY megjelenése rávilágít egy aggasztó tendenciára: az offenzív képességek fejlesztése előtti belépési korlátok csökkenésére az OT területén. A rosszindulatú szereplők a korábbi támadásokból szerzett tudást kihasználva új és kifinomult kártevőket hoznak létre, amelyek jelentős kockázatot jelentenek a kritikus infrastruktúrára nézve.

A COSMICENERGY rosszindulatú program behatoló képességei

A COSMICENERGY Malware képességeit és támadási stratégiáját tekintve hasonlóságot mutat a 2016-os IDUSTROYER incidenssel. Az INDUSTROYER-re emlékeztető módon a COSMICENERGY IEC-104 ON/OFF parancsokat használ a távoli terminálegységekkel (RTU-k) való interakcióhoz, potenciálisan egy MSSQL-kiszolgálót használva csatornarendszerként az operatív technológiai (OT) infrastruktúra eléréséhez. Ennek a hozzáférésnek a megszerzésével a támadó távolról manipulálhatja a tápvezeték-kapcsolókat és a megszakítókat, ami áramkimaradásokhoz vezethet. A COSMICENERGY két elsődleges összetevőből áll: a PIEHOP-ból és a LIGHTTWORK-ból.

A Python nyelven írt és a PyInstallerrel csomagolt PIEHOP megszakítóeszközként szolgál. Képes kapcsolatot létesíteni a felhasználó által biztosított távoli MSSQL-kiszolgálókkal, lehetővé téve a fájlok feltöltését és távoli parancsok kiadását az RTU-k számára. A PIEHOP a LIGHTTWORK-ra támaszkodik, hogy IEC-104 parancsokat küldjön, különösen az „ON” vagy „OFF” parancsot a megcélzott rendszernek. A parancs kiadása után a végrehajtható fájl azonnal törlődik. A kapott PIEHOP minta azonban programozási logikai hibákat mutat, amelyek megakadályozzák az IEC-104 vezérlési képességeinek sikeres végrehajtását. Ennek ellenére a kutatók úgy vélik, hogy ezeket a hibákat a fenyegetés fejlesztői könnyen kijavíthatják.

Másrészt, a C++ nyelven írt LIGHTTWORK megszakító eszközként működik, amely az IEC-104 protokollt valósítja meg az RTU-k állapotának TCP-n keresztüli módosítására. Testreszabható IEC-104 Application Service Data Unit (ASDU) üzeneteket hoz létre, hogy az RTU információs objektum címek (IOA) állapotát „BE” vagy „KI” értékre módosítsa. A LIGHTTWORK pozíciós parancssori argumentumokat használ a céleszköz, a port és az IEC-104 parancs meghatározásához.

A COSMICENERGY figyelemreméltóan hiányzik a felfedezési képességekből, ami azt jelzi, hogy a rosszindulatú programok üzemeltetőjének belső felderítést kell végrehajtania, mielőtt sikeres támadást indítana. Ez a felderítési szakasz konkrét környezeti információk gyűjtését foglalja magában, beleértve az MSSQL szerver IP-címeit, az MSSQL hitelesítő adatait és a célzott IEC-104 eszközök IP-címeit.

Hasonlóságok a COSMICENERGY és az egyéb rosszindulatú programok között

Míg a COSMICENERGY különbözik az ismert rosszindulatú programcsaládoktól, képességei jelentős hasonlóságot mutatnak a korábbi incidenseknél megfigyeltekkel. A kutatók különösen a COSMICENERGY és az IDUSTROYER és IDUSTROYER.V2 malware-változatok között figyeltek fel jelentős hasonlóságokat, amelyek korábban mindkettőt a villamosenergia-átviteli és -elosztó rendszerek megzavarására használták.

Az INDUSTROYER-rel való hasonlóságok mellett a COSMICENERGY hasonló műszaki jellemzőkkel rendelkezik az operációs technológiai (OT) kártevők más családjaival. Ezek a hasonlóságok magukban foglalják a Python használatát fejlesztéshez vagy csomagoláshoz, valamint a nyílt forráskódú könyvtárak használatát az OT protokollok megvalósításához. Az ilyen technikai hasonlóságokat mutató figyelemre méltó OT rosszindulatú programcsaládok közé tartozik az IRONGATE, a TRITON és az INCONTROLLER.

E hasonlóságok vizsgálatával a biztonsági szakemberek mélyebben megérthetik a COSMICENERGY lehetséges eredetét, technikáit és következményeit.