មេរោគ COSMICENERGY
មេរោគដែលបានកំណត់អត្តសញ្ញាណថ្មីដែលគេស្គាល់ថាជា COSMICENERGY បានទាក់ទាញចំណាប់អារម្មណ៍របស់អ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិត។ មេរោគនេះផ្តោតជាពិសេសទៅលើបច្ចេកវិទ្យាប្រតិបត្តិការ (OT) និងប្រព័ន្ធគ្រប់គ្រងឧស្សាហកម្ម (ICS) ដោយផ្តោតលើការធ្វើឱ្យមានការរំខាននៅក្នុងហេដ្ឋារចនាសម្ព័ន្ធថាមពលអគ្គិសនី។ វាសម្រេចបានវាដោយការទាញយកភាពងាយរងគ្រោះនៅក្នុងឧបករណ៍ IEC 60870-5-104 (IEC-104) ជាពិសេសឧបករណ៍ស្ថានីយពីចម្ងាយ (RTUs) ដែលប្រើជាទូទៅក្នុងប្រតិបត្តិការបញ្ជូន និងចែកចាយអគ្គិសនីនៅទូទាំងអឺរ៉ុប មជ្ឈិមបូព៌ា និងអាស៊ី។
នៅពេលធ្វើការវិភាគ COSMICENERGY អ្នកស្រាវជ្រាវបានរកឃើញថាមុខងាររបស់វាប្រហាក់ប្រហែលនឹងអ្វីដែលបានសង្កេតឃើញនៅក្នុងឧប្បត្តិហេតុពីមុនដែលពាក់ព័ន្ធនឹងមេរោគដូចជា INDUSTROYER និង INDUSTROYER.V2 ។ វ៉ារ្យ៉ង់មេរោគពីមុនទាំងនេះត្រូវបានរចនាឡើងជាពិសេសដើម្បីរំខានដល់ការបញ្ជូន និងប្រព័ន្ធចែកចាយអគ្គិសនីដោយប្រើប្រាស់ពិធីការ IEC-104 ។
ការលេចឡើងនៃ COSMICENERGY បង្ហាញពីនិន្នាការដែលពាក់ព័ន្ធ៖ ការថយចុះនៃឧបសគ្គក្នុងការចូលសម្រាប់ការអភិវឌ្ឍសមត្ថភាពវាយលុកនៅក្នុងអាណាចក្រនៃ OT ។ តួអង្គដែលមានគំនិតអាក្រក់កំពុងប្រើប្រាស់ចំណេះដឹងដែលទទួលបានពីការវាយប្រហារពីមុន ដើម្បីបង្កើតមេរោគថ្មី និងស្មុគ្រស្មាញ ដែលបង្កហានិភ័យយ៉ាងសំខាន់ចំពោះហេដ្ឋារចនាសម្ព័ន្ធសំខាន់ៗ។
សមត្ថភាពឈ្លានពានរបស់ COSMICENERGY Malware
មេរោគ COSMICENERGY ចែករំលែកភាពស្រដៀងគ្នាជាមួយនឹងឧប្បត្តិហេតុឧស្សាហកម្មឆ្នាំ 2016 ទាក់ទងនឹងសមត្ថភាព និងយុទ្ធសាស្ត្រវាយប្រហាររបស់វា។ ក្នុងលក្ខណៈដែលនឹកឃើញដល់ INDUSTROYER ក្រុមហ៊ុន COSMICENERGY ប្រើប្រាស់ IEC-104 ON/OFF ពាក្យបញ្ជាដើម្បីធ្វើអន្តរកម្មជាមួយអង្គភាពស្ថានីយពីចម្ងាយ (RTUs) ដែលអាចប្រើម៉ាស៊ីនមេ MSSQL ជាប្រព័ន្ធបំពង់ដើម្បីចូលប្រើហេដ្ឋារចនាសម្ព័ន្ធបច្ចេកវិទ្យាប្រតិបត្តិការ (OT) ។ តាមរយៈការទទួលបានសិទ្ធិចូលប្រើនេះ អ្នកវាយប្រហារអាចគ្រប់គ្រងកុងតាក់ខ្សែថាមពល និងឧបករណ៍បំបែកសៀគ្វីពីចម្ងាយ ដែលនាំឱ្យមានការរំខានថាមពល។ COSMICENERGY មានសមាសធាតុចម្បងពីរគឺ PIEHOP និង LIGHTWORK ។
PIEHOP ដែលសរសេរជា Python និងខ្ចប់ជាមួយ PyInstaller បម្រើជាឧបករណ៍រំខាន។ វាមានសមត្ថភាពបង្កើតការតភ្ជាប់ជាមួយម៉ាស៊ីនមេ MSSQL ពីចម្ងាយដែលផ្គត់ផ្គង់ដោយអ្នកប្រើប្រាស់ អនុញ្ញាតឱ្យផ្ទុកឯកសារ និងចេញពាក្យបញ្ជាពីចម្ងាយទៅ RTUs ។ PIEHOP ពឹងផ្អែកលើ LIGHTWORK ដើម្បីផ្ញើពាក្យបញ្ជា IEC-104 ជាពិសេស 'ON' ឬ 'OFF' ទៅប្រព័ន្ធគោលដៅ។ បន្ទាប់ពីចេញពាក្យបញ្ជារួច កម្មវិធីដែលអាចប្រតិបត្តិបានត្រូវបានលុបភ្លាមៗ។ ទោះជាយ៉ាងណាក៏ដោយ គំរូដែលទទួលបាននៃ PIEHOP បង្ហាញពីកំហុសនៃតក្កវិជ្ជានៃការសរសេរកម្មវិធី ដែលរារាំងវាពីការប្រតិបត្តិដោយជោគជ័យនូវសមត្ថភាពគ្រប់គ្រង IEC-104 របស់វា។ ទោះជាយ៉ាងណាក៏ដោយ អ្នកស្រាវជ្រាវជឿថា កំហុសទាំងនេះអាចត្រូវបានកែតម្រូវយ៉ាងងាយស្រួលដោយអ្នកបង្កើតការគំរាមកំហែង។
ម្យ៉ាងវិញទៀត LIGHTWORK ដែលសរសេរក្នុង C ++ មានមុខងារជាឧបករណ៍រំខានដែលអនុវត្តពិធីការ IEC-104 ដើម្បីកែប្រែស្ថានភាពនៃ RTUs លើ TCP ។ វាបង្កើតសារ IEC-104 Application Service Data Unit (ASDU) ដែលអាចប្ដូរតាមបំណង ដើម្បីផ្លាស់ប្តូរស្ថានភាពនៃ RTU Information Object Addresses (IOAs) ទៅជា 'ON' ឬ 'OFF'។ LIGHTWORK ប្រើប្រាស់អាគុយម៉ង់បន្ទាត់ពាក្យបញ្ជាទីតាំងដើម្បីបញ្ជាក់ឧបករណ៍គោលដៅ ច្រក និងពាក្យបញ្ជា IEC-104 ។
COSMICENERGY បង្ហាញពីអវត្តមានគួរឱ្យកត់សម្គាល់នៃសមត្ថភាពស្វែងរក ដែលបង្ហាញថាប្រតិបត្តិករមេរោគនឹងត្រូវធ្វើការស៊ើបអង្កេតផ្ទៃក្នុង មុនពេលចាប់ផ្តើមការវាយប្រហារដោយជោគជ័យ។ ដំណាក់កាលឈ្លបយកការណ៍នេះពាក់ព័ន្ធនឹងការប្រមូលព័ត៌មានបរិស្ថានជាក់លាក់ រួមទាំងអាសយដ្ឋាន IP របស់ម៉ាស៊ីនមេ MSSQL លិខិតសម្គាល់ MSSQL និងអាសយដ្ឋាន IP នៃឧបករណ៍ IEC-104 គោលដៅ។
ភាពស្រដៀងគ្នារវាង COSMICENERGY និងការគំរាមកំហែងមេរោគផ្សេងទៀត។
ខណៈពេលដែល COSMICENERGY គឺខុសពីក្រុមគ្រួសារមេរោគដែលគេស្គាល់ សមត្ថភាពរបស់វាបង្ហាញពីភាពស្រដៀងគ្នាគួរឱ្យកត់សម្គាល់ទៅនឹងអ្វីដែលបានសង្កេតនៅក្នុងឧប្បត្តិហេតុពីមុន។ ជាពិសេស អ្នកស្រាវជ្រាវកត់សម្គាល់ពីភាពស្រដៀងគ្នាដ៏សំខាន់រវាង COSMICENERGY និង INDUSTROYER និង INDUSTROYER.V2 វ៉ារ្យ៉ង់មេរោគ ដែលទាំងពីរនេះត្រូវបានដាក់ពង្រាយពីមុនដើម្បីរំខានដល់ប្រព័ន្ធបញ្ជូន និងចែកចាយអគ្គិសនី។
បន្ថែមពីលើភាពស្រដៀងគ្នាជាមួយ INDUSTROYER ក្រុមហ៊ុន COSMICENERGY ចែករំលែកលក្ខណៈបច្ចេកទេសជាមួយមេរោគផ្សេងទៀតនៃបច្ចេកវិទ្យាប្រតិបត្តិការ (OT) គ្រួសារ។ ភាពស្រដៀងគ្នាទាំងនេះរួមមានការប្រើប្រាស់ Python សម្រាប់ការអភិវឌ្ឍន៍ ឬការវេចខ្ចប់ និងការប្រើប្រាស់បណ្ណាល័យប្រភពបើកចំហសម្រាប់ការអនុវត្តពិធីការ OT ។ គ្រួសារមេរោគ OT គួរឱ្យកត់សម្គាល់ដែលបង្ហាញភាពស្រដៀងគ្នាបច្ចេកទេសទាំងនេះរួមមាន IRONGATE, TRITON និង INCONTROLER ។
តាមរយៈការពិនិត្យមើលភាពស្រដៀងគ្នាទាំងនេះ អ្នកជំនាញផ្នែកសន្តិសុខអាចទទួលបានការយល់ដឹងកាន់តែស៊ីជម្រៅអំពីប្រភពដើម បច្ចេកទេស និងផលប៉ះពាល់ដែលពាក់ព័ន្ធជាមួយ COSMICENERGY ។
