COSMICENERGY kenkėjiška programa

Naujai nustatyta kenkėjiška programa, žinoma kaip COSMICENERGY, atkreipė kibernetinio saugumo tyrinėtojų dėmesį. Ši kenkėjiška programa yra skirta operacinėms technologijoms (OT) ir pramonės valdymo sistemoms (ICS), daugiausia dėmesio skiriant elektros energijos infrastruktūros sutrikimams. Tai pasiekiama išnaudodama IEC 60870-5-104 (IEC-104) įrenginių, ypač nuotolinių terminalų blokų (RTU), dažniausiai naudojamų elektros perdavimo ir paskirstymo operacijose Europoje, Viduriniuose Rytuose ir Azijoje, pažeidžiamumą.

Analizuodami COSMICENERGY, mokslininkai išsiaiškino, kad jos funkcijos labai panašios į tas, kurios buvo pastebėtos ankstesnių incidentų, susijusių su kenkėjiškomis programomis, pvz. , INDUSTROYER ir INDUSTROYER.V2 , metu. Šie ankstesni kenkėjiškų programų variantai buvo specialiai sukurti siekiant sutrikdyti elektros perdavimo ir paskirstymo sistemas, naudojant IEC-104 protokolą.

COSMICENERGY atsiradimas išryškina nerimą keliančią tendenciją: mažėjančias kliūtis patekti į rinką plėtojant puolimo pajėgumus OT srityje. Blogai nusiteikę veikėjai naudoja žinias, įgytas iš ankstesnių atakų, kurdami naujas ir sudėtingas kenkėjiškas programas, keliančias didelę riziką kritinei infrastruktūrai.

Įžeidžiančios COSMICENERGY kenkėjiškos programos galimybės

COSMICENERGY kenkėjiška programa savo galimybėmis ir atakos strategija yra panaši į 2016 m. INDUSTROYER incidentą. Kaip INDUSTROYER, COSMICENERGY naudoja IEC-104 ON/OFF komandas, kad galėtų sąveikauti su nuotoliniais terminalų blokais (RTU), o MSSQL serveris gali būti naudojamas kaip kanalo sistema prieigai prie operacinės technologijos (OT) infrastruktūros. Gavęs šią prieigą, užpuolikas gali nuotoliniu būdu manipuliuoti elektros linijų jungikliais ir grandinės pertraukikliais, todėl gali nutrūkti maitinimas. COSMICENERGY susideda iš dviejų pagrindinių komponentų: PIEHOP ir LIGHTTWORK.

PIEHOP, parašytas Python ir supakuotas su PyInstaller, tarnauja kaip trikdymo įrankis. Jis gali užmegzti ryšius su vartotojo pateiktais nuotoliniais MSSQL serveriais, leidžiantis įkelti failus ir išduoti nuotolines komandas RTU. PIEHOP remiasi LIGHTTWORK, kad siųstų IEC-104 komandas, konkrečiai „ON“ arba „OFF“, į tikslinę sistemą. Išleidus komandą, vykdomasis failas nedelsiant ištrinamas. Tačiau gautame PIEHOP pavyzdyje yra programavimo logikos klaidų, kurios neleidžia sėkmingai vykdyti IEC-104 valdymo galimybių. Nepaisant to, mokslininkai mano, kad šias klaidas grėsmės kūrėjai gali nesunkiai ištaisyti.

Kita vertus, LIGHTTWORK, parašytas C++, veikia kaip trikdymo įrankis, įgyvendinantis IEC-104 protokolą, kad pakeistų RTU būseną per TCP. Jis sukuria pritaikomus IEC-104 taikomųjų programų paslaugų duomenų vieneto (ASDU) pranešimus, kad pakeistų RTU informacinių objektų adresų (IOA) būseną į „ON“ arba „OFF“. LIGHTTWORK naudoja padėties komandinės eilutės argumentus, kad nurodytų tikslinį įrenginį, prievadą ir IEC-104 komandą.

COSMICENERGY pastebimai trūksta aptikimo galimybių, o tai rodo, kad kenkėjiškų programų operatorius turės atlikti vidinę žvalgybą prieš pradėdamas sėkmingą ataką. Šis žvalgybos etapas apima konkrečios aplinkos informacijos rinkimą, įskaitant MSSQL serverio IP adresus, MSSQL kredencialus ir tikslinių IEC-104 įrenginių IP adresus.

COSMICENERGY ir kitų kenkėjiškų programų panašumai

Nors COSMICENERGY skiriasi nuo žinomų kenkėjiškų programų šeimų, jos galimybės rodo didelį panašumą su ankstesniais incidentais. Tyrėjai ypač pastebi didelius panašumus tarp COSMICENERGY ir INDUSTROYER bei INDUSTROYER.V2 kenkėjiškų programų variantų, kurie abu anksčiau buvo naudojami siekiant sutrikdyti elektros perdavimo ir paskirstymo sistemas.

Be panašumų su INDUSTROYER, COSMICENERGY turi bendrų techninių charakteristikų su kitomis operacinių technologijų (OT) kenkėjiškomis programomis. Šie panašumai apima Python naudojimą kuriant ar pakuojant ir atvirojo kodo bibliotekų naudojimą OT protokolams įgyvendinti. Įžymios OT kenkėjiškų programų šeimos, turinčios šiuos techninius panašumus, yra IRONGATE, TRITON ir INCONTROLLER.

Išnagrinėję šiuos panašumus, saugumo specialistai gali geriau suprasti galimą COSMICENERGY kilmę, metodus ir pasekmes.