COSMICENERGY Skadelig programvare

En nylig identifisert skadelig programvare kjent som COSMICENERGY har trukket oppmerksomheten til cybersikkerhetsforskere. Denne skadevaren er spesifikt rettet mot Operational Technology (OT) og Industrial Control Systems (ICS), med fokus på å forårsake forstyrrelser i elektrisk kraftinfrastruktur. Den oppnår dette ved å utnytte sårbarheter i IEC 60870-5-104 (IEC-104) enheter, spesielt Remote Terminal Units (RTUer) som vanligvis brukes i elektrisk overføring og distribusjon over hele Europa, Midtøsten og Asia.

Etter å ha analysert COSMICENERGY, har forskere oppdaget at funksjonene ligner mye på de som ble observert i tidligere hendelser med skadelig programvare, slik som INDUSTROYER og INDUSTROYER.V2 . Disse tidligere malware-variantene ble spesielt utviklet for å forstyrre strømoverføring og distribusjonssystemer ved å utnytte IEC-104-protokollen.

Fremveksten av COSMICENERGY fremhever en bekymringsfull trend: de avtagende barrierene for inngang for å utvikle offensive evner i OT-riket. Ondsinnede aktører utnytter kunnskap fra tidligere angrep for å lage ny og sofistikert skadelig programvare, som utgjør en betydelig risiko for kritisk infrastruktur.

De påtrengende egenskapene til COSMICENERGY Malware

COSMICENERGY Malware deler likheter med 2016 INDUSTROYER-hendelsen når det gjelder dens evner og angrepsstrategi. På en måte som minner om INDUSTROYER, bruker COSMICENERGY IEC-104 PÅ/AV-kommandoer for å samhandle med eksterne terminalenheter (RTU-er), og bruker potensielt en MSSQL-server som et kanalsystem for å få tilgang til operativ teknologi (OT) infrastruktur. Ved å få denne tilgangen kan en angriper eksternt manipulere strømlinjebrytere og strømbrytere, noe som fører til strømbrudd. COSMICENERGY består av to hovedkomponenter: PIEHOP og LIGHTTWORK.

PIEHOP, skrevet i Python og pakket med PyInstaller, fungerer som et avbruddsverktøy. Den er i stand til å etablere tilkoblinger med brukerleverte eksterne MSSQL-servere, noe som muliggjør filopplasting og utstedelse av eksterne kommandoer til RTUer. PIEHOP er avhengig av at LIGHTTWORK sender IEC-104-kommandoer, spesifikt 'ON' eller 'OFF', til det målrettede systemet. Etter å ha gitt kommandoen, slettes den kjørbare umiddelbart. Imidlertid viser den innhentede prøven av PIEHOP programmeringslogikkfeil som hindrer den i å utføre sine IEC-104-kontrollfunksjoner. Ikke desto mindre mener forskere at disse feilene lett kan rettes opp av utviklerne av trusselen.

På den annen side fungerer LIGHTTWORK, skrevet i C++, som et avbruddsverktøy som implementerer IEC-104-protokollen for å modifisere tilstanden til RTUer over TCP. Den lager tilpassbare IEC-104 Application Service Data Unit (ASDU)-meldinger for å endre tilstanden til RTU Information Object Addresses (IOAs) til enten "ON" eller "OFF". LIGHTTWORK bruker posisjonelle kommandolinjeargumenter for å spesifisere målenheten, porten og IEC-104-kommandoen.

COSMICENERGY viser et bemerkelsesverdig fravær av oppdagelsesevner, noe som indikerer at skadevareoperatøren må gjennomføre en intern rekognosering før et vellykket angrep starter. Denne rekognoseringsfasen involverer innsamling av spesifikk miljøinformasjon, inkludert MSSQL-server IP-adresser, MSSQL-legitimasjon og IP-adressene til målrettede IEC-104-enheter.

Likheter mellom COSMICENERGY og andre trusler mot skadelig programvare

Mens COSMICENERGY er forskjellig fra kjente skadevarefamilier, viser egenskapene bemerkelsesverdige likheter med de som er observert i tidligere hendelser. Spesielt merker forskere betydelige likheter mellom COSMICENERGY og malware-variantene INDUSTROYER og INDUSTROYER.V2, som begge tidligere ble distribuert for å forstyrre overførings- og distribusjonssystemer for elektrisitet.

I tillegg til likhetene med INDUSTROYER, deler COSMICENERGY tekniske egenskaper med andre familier av operativ teknologi (OT) malware. Disse likhetene inkluderer bruken av Python for utvikling eller pakking og bruken av åpen kildekode-biblioteker for å implementere OT-protokoller. Bemerkelsesverdige OT-malwarefamilier som viser disse tekniske likhetene inkluderer IRONGATE, TRITON og INCONTROLLER.

Ved å undersøke disse likhetene kan sikkerhetseksperter få en dypere forståelse av den potensielle opprinnelsen, teknikkene og implikasjonene forbundet med COSMICENERGY.