COSMICENERGY Malware

Un malware appena identificato noto come COSMICENERGY ha attirato l'attenzione dei ricercatori di sicurezza informatica. Questo malware prende di mira specificamente la tecnologia operativa (OT) e i sistemi di controllo industriale (ICS), concentrandosi sulla causa di interruzioni nell'infrastruttura elettrica. Raggiunge questo obiettivo sfruttando le vulnerabilità nei dispositivi IEC 60870-5-104 (IEC-104), in particolare le unità terminali remote (RTU) comunemente utilizzate nelle operazioni di trasmissione e distribuzione elettrica in Europa, Medio Oriente e Asia.

Analizzando COSMICENERGY, i ricercatori hanno scoperto che le sue funzionalità sono molto simili a quelle osservate in precedenti incidenti che coinvolgono malware, come INDUSTROYER e INDUSTROYER.V2 . Queste precedenti varianti di malware sono state specificamente progettate per interrompere i sistemi di trasmissione e distribuzione dell'elettricità sfruttando il protocollo IEC-104.

L'emergere di COSMICENERGY evidenzia una tendenza preoccupante: la diminuzione delle barriere all'ingresso per lo sviluppo di capacità offensive nel regno di OT. Gli attori malvagi stanno sfruttando le conoscenze acquisite dagli attacchi precedenti per creare malware nuovi e sofisticati, ponendo rischi significativi per le infrastrutture critiche.

Le capacità intrusive del malware COSMICENERGY

Il malware COSMICENERGY condivide somiglianze con l'incidente INDUSTROYER del 2016 in termini di capacità e strategia di attacco. In un modo che ricorda INDUSTROYER, COSMICENERGY utilizza i comandi ON/OFF IEC-104 per interagire con le unità terminali remote (RTU), impiegando potenzialmente un server MSSQL come sistema di conduit per accedere all'infrastruttura della tecnologia operativa (OT). Ottenendo questo accesso, un utente malintenzionato può manipolare in remoto gli interruttori della linea elettrica e gli interruttori automatici, causando interruzioni di corrente. COSMICENERGY consiste di due componenti principali: PIEHOP e LIGHTWORK.

PIEHOP, scritto in Python e impacchettato con PyInstaller, funge da strumento di interruzione. È in grado di stabilire connessioni con server MSSQL remoti forniti dall'utente, consentendo il caricamento di file e l'invio di comandi remoti alle RTU. PIEHOP si affida a LIGHTWORK per inviare i comandi IEC-104, in particolare "ON" o "OFF", al sistema mirato. Dopo aver emesso il comando, l'eseguibile viene prontamente cancellato. Tuttavia, il campione ottenuto di PIEHOP presenta errori logici di programmazione che gli impediscono di eseguire correttamente le sue capacità di controllo IEC-104. Tuttavia, i ricercatori ritengono che questi errori possano essere facilmente corretti dagli sviluppatori della minaccia.

D'altra parte, LIGHTWORK, scritto in C++, funziona come uno strumento di interruzione che implementa il protocollo IEC-104 per modificare lo stato delle RTU su TCP. Crea messaggi ASDU (Application Service Data Unit) IEC-104 personalizzabili per modificare lo stato degli indirizzi di oggetti informativi (IOA) RTU su "ON" o "OFF". LIGHTWORK utilizza argomenti della riga di comando posizionale per specificare il dispositivo di destinazione, la porta e il comando IEC-104.

COSMICENERGY mostra una notevole assenza di capacità di rilevamento, il che indica che l'operatore di malware dovrebbe condurre una ricognizione interna prima di lanciare un attacco riuscito. Questa fase di ricognizione prevede la raccolta di informazioni sull'ambiente specifico, inclusi gli indirizzi IP del server MSSQL, le credenziali MSSQL e gli indirizzi IP dei dispositivi IEC-104 mirati.

Somiglianze tra COSMICENERGY e altre minacce malware

Sebbene COSMICENERGY sia diverso dalle famiglie di malware conosciute, le sue capacità dimostrano notevoli somiglianze con quelle osservate in incidenti precedenti. In particolare, i ricercatori notano significative somiglianze tra COSMICENERGY e le varianti di malware INDUSTROYER e INDUSTROYER.V2, entrambe utilizzate in precedenza per interrompere i sistemi di trasmissione e distribuzione dell'elettricità.

Oltre alle somiglianze con INDUSTROYER, COSMICENERGY condivide caratteristiche tecniche con altre famiglie di malware di tecnologia operativa (OT). Queste somiglianze includono l'uso di Python per lo sviluppo o il confezionamento e l'utilizzo di librerie open source per l'implementazione dei protocolli OT. Notevoli famiglie di malware OT che mostrano queste somiglianze tecniche includono IRONGATE, TRITON e INCONTROLLER.

Esaminando queste somiglianze, i professionisti della sicurezza possono acquisire una comprensione più profonda delle potenziali origini, tecniche e implicazioni associate a COSMICENERGY.