COSMICENERGY ļaunprātīga programmatūra

Nesen identificēta ļaunprātīga programmatūra, kas pazīstama kā COSMICENERGY, ir pievērsusi kiberdrošības pētnieku uzmanību. Šī ļaunprogrammatūra ir īpaši vērsta uz operatīvajām tehnoloģijām (OT) un rūpnieciskajām vadības sistēmām (ICS), koncentrējoties uz elektroenerģijas infrastruktūras traucējumu izraisīšanu. Tas tiek panākts, izmantojot IEC 60870-5-104 (IEC-104) ierīču ievainojamības, jo īpaši attālās termināļa vienības (RTU), ko parasti izmanto elektriskās pārvades un sadales darbībās Eiropā, Tuvajos Austrumos un Āzijā.

Analizējot COSMICENERGY, pētnieki ir atklājuši, ka tā funkcionalitāte ir ļoti līdzīga tām, kas novērotas iepriekšējos incidentos, kas saistīti ar ļaunprātīgu programmatūru, piemēram, INDUSTROYER un INDUSTROYER.V2 . Šie agrākie ļaunprogrammatūras varianti tika īpaši izstrādāti, lai traucētu elektroenerģijas pārvades un sadales sistēmas, izmantojot IEC-104 protokolu.

COSMICENERGY parādīšanās izceļ satraucošu tendenci: samazinās šķēršļi ienākšanai uzbrukuma spēju attīstīšanai OT jomā. Ļaunprātīgie dalībnieki izmanto zināšanas, kas iegūtas no iepriekšējiem uzbrukumiem, lai radītu jaunu un izsmalcinātu ļaunprogrammatūru, radot ievērojamus riskus kritiskajai infrastruktūrai.

COSMICENERGY ļaunprātīgas programmatūras uzmācīgās iespējas

COSMICENERGY ļaunprogrammatūrai ir līdzības ar 2016. gada INDUSTROYER incidentu tās iespēju un uzbrukuma stratēģijas ziņā. Tādā veidā, kas atgādina INDUSTROYER, COSMICENERGY izmanto IEC-104 IESLĒGŠANAS/IZSLĒGŠANAS komandas, lai mijiedarbotos ar attālajām termināļa vienībām (RTU), potenciāli izmantojot MSSQL serveri kā kanālu sistēmu, lai piekļūtu operatīvās tehnoloģijas (OT) infrastruktūrai. Iegūstot šo piekļuvi, uzbrucējs var attālināti manipulēt ar elektropārvades līniju slēdžiem un slēdžiem, izraisot strāvas padeves pārtraukumus. COSMICENERGY sastāv no diviem primārajiem komponentiem: PIEHOP un LIGHTTWORK.

PIEHOP, kas rakstīts Python un iesaiņots ar PyInstaller, kalpo kā traucējumu novēršanas rīks. Tas spēj izveidot savienojumus ar lietotāja nodrošinātiem attāliem MSSQL serveriem, ļaujot augšupielādēt failus un izsniegt attālās komandas RTU. PIEHOP paļaujas uz LIGHTTWORK, lai nosūtītu IEC-104 komandas, īpaši “ON” vai “OFF”, uz mērķa sistēmu. Pēc komandas izdošanas izpildāmais fails tiek nekavējoties izdzēsts. Tomēr iegūtajā PIEHOP paraugā ir programmēšanas loģikas kļūdas, kas neļauj tam veiksmīgi izpildīt IEC-104 vadības iespējas. Tomēr pētnieki uzskata, ka draudu izstrādātāji šīs kļūdas var viegli novērst.

No otras puses, LIGHTTWORK, kas rakstīts C++, darbojas kā traucējumu novēršanas rīks, kas ievieš IEC-104 protokolu, lai mainītu RTU stāvokli, izmantojot TCP. Tas veido pielāgojamus IEC-104 lietojumprogrammu pakalpojumu datu vienības (ASDU) ziņojumus, lai mainītu RTU informācijas objektu adrešu (IOA) stāvokli uz “ON” vai “OFF”. LIGHTTWORK izmanto pozicionālās komandrindas argumentus, lai norādītu mērķa ierīci, portu un IEC-104 komandu.

COSMICENERGY uzrāda ievērojamu atklāšanas iespēju trūkumu, kas norāda, ka ļaunprogrammatūras operatoram pirms veiksmīga uzbrukuma ir jāveic iekšēja izlūkošana. Šajā izlūkošanas fāzē tiek apkopota noteikta vides informācija, tostarp MSSQL servera IP adreses, MSSQL akreditācijas dati un mērķa IEC-104 ierīču IP adreses.

Līdzības starp COSMICENERGY un citiem ļaunprātīgas programmatūras draudiem

Lai gan COSMICENERGY atšķiras no zināmajām ļaunprogrammatūru saimēm, tās iespējas demonstrē ievērojamas līdzības ar tām, kas novērotas iepriekšējos incidentos. Jo īpaši pētnieki atzīmē būtiskas līdzības starp COSMICENERGY un INDUSTROYER un INDUSTROYER.V2 ļaunprātīgas programmatūras variantiem, kuri abi iepriekš tika izmantoti, lai traucētu elektroenerģijas pārvades un sadales sistēmas.

Papildus līdzībām ar INDUSTROYER, COSMICENERGY ir kopīgas tehniskās īpašības ar citām operatīvo tehnoloģiju (OT) ļaunprātīgām programmām. Šīs līdzības ietver Python izmantošanu izstrādei vai iesaiņošanai un atvērtā pirmkoda bibliotēku izmantošanu OT protokolu ieviešanai. Ievērojamas OT ļaunprātīgas programmatūras ģimenes, kurām ir šīs tehniskās līdzības, ir IRONGATE, TRITON un INCONTROLLER.

Izpētot šīs līdzības, drošības speciālisti var iegūt dziļāku izpratni par iespējamo izcelsmi, paņēmieniem un ietekmi, kas saistīta ar COSMICENERGY.