COSMICENERGY Malware

Satu perisian hasad yang baru dikenal pasti dikenali sebagai COSMICENERGY telah menarik perhatian penyelidik keselamatan siber. Perisian hasad ini secara khusus menyasarkan Teknologi Operasi (OT) dan Sistem Kawalan Perindustrian (ICS), memfokuskan pada menyebabkan gangguan dalam infrastruktur kuasa elektrik. Ia mencapai matlamat ini dengan mengeksploitasi kelemahan dalam peranti IEC 60870-5-104 (IEC-104), khususnya Unit Terminal Jauh (RTU) yang biasa digunakan dalam operasi penghantaran dan pengedaran elektrik di seluruh Eropah, Timur Tengah dan Asia.

Selepas menganalisis COSMICENERGY, penyelidik telah mendapati bahawa fungsinya hampir sama dengan yang diperhatikan dalam insiden sebelumnya yang melibatkan perisian hasad, seperti INDUSTROYER dan INDUSTROYER.V2 . Varian perisian hasad yang lalu ini direka khusus untuk mengganggu sistem penghantaran dan pengedaran elektrik dengan mengeksploitasi protokol IEC-104.

Kemunculan COSMICENERGY menyerlahkan arah aliran yang membimbangkan: penghalang masuk yang semakin berkurangan untuk membangunkan keupayaan serangan dalam bidang OT. Pelakon yang berfikiran jahat memanfaatkan pengetahuan yang diperoleh daripada serangan terdahulu untuk mencipta perisian hasad baharu dan canggih, yang menimbulkan risiko besar kepada infrastruktur kritikal.

Keupayaan Mengganggu Perisian Hasad COSMICENERGY

COSMICENERGY Malware berkongsi persamaan dengan insiden INDUSTROYER 2016 dari segi keupayaan dan strategi serangannya. Dengan cara yang mengingatkan INDUSTROYER, COSMICENERGY menggunakan perintah ON/OFF IEC-104 untuk berinteraksi dengan unit terminal jauh (RTU), yang berpotensi menggunakan pelayan MSSQL sebagai sistem saluran untuk mengakses infrastruktur teknologi operasi (OT). Dengan mendapatkan akses ini, penyerang boleh memanipulasi suis talian kuasa dan pemutus litar dari jauh, yang membawa kepada gangguan kuasa. COSMICENERGY terdiri daripada dua komponen utama: PIEHOP dan LIGHTWORK.

PIEHOP, ditulis dalam Python dan dibungkus dengan PyInstaller, berfungsi sebagai alat gangguan. Ia mampu mewujudkan sambungan dengan pelayan MSSQL jauh yang dibekalkan pengguna, membenarkan muat naik fail dan mengeluarkan arahan jauh kepada RTU. PIEHOP bergantung pada LIGHTWORK untuk menghantar arahan IEC-104, khususnya 'ON' atau 'OFF,' kepada sistem yang disasarkan. Selepas mengeluarkan arahan, boleh laku dipadamkan dengan segera. Walau bagaimanapun, sampel PIEHOP yang diperolehi mempamerkan ralat logik pengaturcaraan yang menghalangnya daripada berjaya melaksanakan keupayaan kawalan IEC-104nya. Walau bagaimanapun, penyelidik percaya bahawa kesilapan ini boleh diperbetulkan dengan mudah oleh pembangun ancaman.

Sebaliknya, LIGHTWORK, yang ditulis dalam C++, berfungsi sebagai alat gangguan yang melaksanakan protokol IEC-104 untuk mengubah suai keadaan RTU melalui TCP. Ia menghasilkan mesej Unit Data Perkhidmatan Aplikasi (ASDU) IEC-104 yang boleh disesuaikan untuk mengubah keadaan Alamat Objek Maklumat (IOA) RTU kepada sama ada 'HIDUP' atau 'MATI.' LIGHTWORK menggunakan argumen baris perintah kedudukan untuk menentukan peranti sasaran, port dan arahan IEC-104.

COSMICENERGY mempamerkan ketiadaan keupayaan penemuan yang ketara, menunjukkan bahawa pengendali perisian hasad perlu menjalankan peninjauan dalaman sebelum melancarkan serangan yang berjaya. Fasa peninjauan ini melibatkan pengumpulan maklumat persekitaran khusus, termasuk alamat IP pelayan MSSQL, bukti kelayakan MSSQL dan alamat IP peranti IEC-104 yang disasarkan.

Persamaan antara COSMICENERGY dan Ancaman Hasad Lain

Walaupun COSMICENERGY berbeza daripada keluarga perisian hasad yang diketahui, keupayaannya menunjukkan persamaan ketara dengan yang diperhatikan dalam insiden sebelumnya. Khususnya, penyelidik mencatatkan persamaan ketara antara COSMICENERGY dan varian perisian hasad INDUSTROYER dan INDUSTROYER.V2, yang kedua-duanya sebelum ini digunakan untuk mengganggu sistem penghantaran dan pengedaran elektrik.

Selain persamaan dengan INDUSTROYER, COSMICENERGY berkongsi ciri teknikal dengan keluarga perisian hasad teknologi operasi (OT) yang lain. Persamaan ini termasuk penggunaan Python untuk pembangunan atau pembungkusan dan penggunaan perpustakaan sumber terbuka untuk melaksanakan protokol OT. Keluarga perisian hasad OT terkenal yang mempamerkan persamaan teknikal ini termasuk IRONGATE, TRITON dan INCONTROLLER.

Dengan meneliti persamaan ini, profesional keselamatan boleh memperoleh pemahaman yang lebih mendalam tentang potensi asal, teknik dan implikasi yang dikaitkan dengan COSMICENERGY.