COSMICENERGY मालवेयर
COSMICENERGY भनेर चिनिने नयाँ पहिचान गरिएको मालवेयरले साइबरसुरक्षा अनुसन्धानकर्ताहरूको ध्यान खिचेको छ। यो मालवेयरले विशेष गरी अपरेशनल टेक्नोलोजी (OT) र औद्योगिक नियन्त्रण प्रणाली (ICS) लाई लक्षित गर्दछ, बिजुली पावर पूर्वाधारमा अवरोधहरू निम्त्याउनमा ध्यान केन्द्रित गर्दछ। यसले IEC 60870-5-104 (IEC-104) यन्त्रहरू, विशेष गरी रिमोट टर्मिनल इकाइहरू (RTUs) लाई युरोप, मध्य पूर्व र एशियाभरि विद्युतीय प्रसारण र वितरण सञ्चालनमा प्रयोग हुने कमजोरीहरूको शोषण गरेर यो हासिल गर्छ।
COSMICENERGY को विश्लेषण गर्दा, अन्वेषकहरूले पत्ता लगाएका छन् कि यसको कार्यक्षमताहरू INDUSTROYER र INDUSTROYER.V2 जस्ता मालवेयर समावेश गर्ने अघिल्लो घटनाहरूमा देखिएकासँग मिल्दोजुल्दो छ। यी विगतका मालवेयर भेरियन्टहरू विशेष रूपमा IEC-104 प्रोटोकलको शोषण गरेर बिजुली प्रसारण र वितरण प्रणालीमा बाधा पुर्याउन डिजाइन गरिएको थियो।
COSMICENERGY को उदयले एक सम्बन्धित प्रवृत्तिलाई हाइलाइट गर्दछ: OT को दायरामा आपत्तिजनक क्षमताहरू विकास गर्नको लागि प्रवेशमा घट्दो अवरोधहरू। दुष्ट दिमागका अभिनेताहरूले नयाँ र परिष्कृत मालवेयर सिर्जना गर्न अघिल्लो आक्रमणहरूबाट प्राप्त ज्ञानको लाभ उठाइरहेका छन्, महत्त्वपूर्ण पूर्वाधारमा महत्त्वपूर्ण जोखिमहरू खडा गर्दै।
COSMICENERGY मालवेयरको घुसपैठ क्षमताहरू
COSMICENERGY मालवेयरले यसको क्षमता र आक्रमण रणनीतिको सन्दर्भमा 2016 INDUSTROYER घटनासँग समानताहरू साझा गर्दछ। INDUSTROYER को सम्झना दिलाउने तरिकामा, COSMICENERGY ले IEC-104 ON/OFF आदेशहरू रिमोट टर्मिनल एकाइहरू (RTUs) सँग अन्तरक्रिया गर्न प्रयोग गर्दछ, सम्भावित रूपमा MSSQL सर्भरलाई परिचालन प्रविधि (OT) पूर्वाधारमा पहुँच गर्न कन्ड्युट प्रणालीको रूपमा प्रयोग गर्दछ। यो पहुँच प्राप्त गरेर, आक्रमणकारीले टाढैबाट पावर लाइन स्विचहरू र सर्किट ब्रेकरहरू हेरफेर गर्न सक्छ, जसले पावर अवरोधहरू निम्त्याउँछ। COSMICENERGY मा दुई प्राथमिक कम्पोनेन्टहरू हुन्छन्: PIEHOP र LIGHTWORK।
PIEHOP, Python मा लेखिएको र PyInstaller सँग प्याकेज गरिएको, एक अवरोध उपकरणको रूपमा कार्य गर्दछ। यो प्रयोगकर्ताद्वारा आपूर्ति गरिएको रिमोट MSSQL सर्भरहरूसँग जडानहरू स्थापना गर्न सक्षम छ, फाइल अपलोड गर्न र RTUs लाई रिमोट आदेशहरू जारी गर्न अनुमति दिँदै। PIEHOP ले IEC-104 आदेशहरू पठाउन LIGHTWORK मा निर्भर गर्दछ, विशेष गरी 'ON' वा 'OFF,' लक्षित प्रणालीमा। आदेश जारी गरेपछि, कार्यान्वयन तुरुन्तै मेटाइन्छ। यद्यपि, PIEHOP को प्राप्त नमूनाले प्रोग्रामिङ तर्क त्रुटिहरू प्रदर्शन गर्दछ जसले यसलाई सफलतापूर्वक यसको IEC-104 नियन्त्रण क्षमताहरू कार्यान्वयन गर्नबाट रोक्छ। जे होस्, अनुसन्धानकर्ताहरूले विश्वास गर्छन् कि यी त्रुटिहरू खतराका विकासकर्ताहरूले सजिलै सुधार गर्न सक्छन्।
अर्कोतर्फ, C++ मा लेखिएको LIGHTWORK, TCP मा RTUs को स्थिति परिमार्जन गर्न IEC-104 प्रोटोकल लागू गर्ने अवरोध उपकरणको रूपमा कार्य गर्दछ। यसले RTU सूचना वस्तु ठेगानाहरू (IOAs) को स्थितिलाई 'ON' वा 'OFF' मा परिवर्तन गर्न अनुकूलन योग्य IEC-104 अनुप्रयोग सेवा डेटा इकाई (ASDU) सन्देशहरू बनाउँछ। LIGHTWORK ले लक्ष्य उपकरण, पोर्ट, र IEC-104 आदेश निर्दिष्ट गर्न स्थितिगत आदेश रेखा तर्कहरू प्रयोग गर्दछ।
COSMICENERGY ले खोज क्षमताहरूको उल्लेखनीय अनुपस्थिति प्रदर्शन गर्दछ, यसले संकेत गर्दछ कि मालवेयर अपरेटरले सफल आक्रमण सुरु गर्नु अघि आन्तरिक टोपन सञ्चालन गर्न आवश्यक छ। यो जासूसी चरणमा MSSQL सर्भर IP ठेगानाहरू, MSSQL प्रमाणहरू र लक्षित IEC-104 यन्त्रहरूको IP ठेगानाहरू सहित विशिष्ट वातावरण जानकारीहरू जम्मा गर्ने समावेश छ।
COSMICENERGY र अन्य मालवेयर खतराहरू बीच समानताहरू
जबकि COSMICENERGY ज्ञात मालवेयर परिवारहरू भन्दा फरक छ, यसको क्षमताहरूले अघिल्लो घटनाहरूमा अवलोकन गरिएका उल्लेखनीय समानताहरू प्रदर्शन गर्दछ। विशेष गरी, अनुसन्धानकर्ताहरूले COSMICENERGY र INDUSTROYER र INDUSTROYER.V2 मालवेयर भेरियन्टहरू बीचको महत्त्वपूर्ण समानताहरू नोट गर्छन्, जुन दुवैलाई पहिले बिजुली प्रसारण र वितरण प्रणालीमा बाधा पुर्याउन प्रयोग गरिएको थियो।
INDUSTROYER सँग समानताको अतिरिक्त, COSMICENERGY ले प्राविधिक विशेषताहरू परिचालन प्रविधि (OT) मालवेयरका अन्य परिवारहरूसँग साझा गर्दछ। यी समानताहरूमा विकास वा प्याकेजिङका लागि पाइथनको प्रयोग र ओटी प्रोटोकलहरू लागू गर्नका लागि खुला स्रोत पुस्तकालयहरूको प्रयोग समावेश छ। यी प्राविधिक समानताहरू प्रदर्शन गर्ने उल्लेखनीय OT मालवेयर परिवारहरूमा IRONGATE, TRITON र INCONTROLLER समावेश छन्।
यी समानताहरू जाँच गरेर, सुरक्षा पेशेवरहरूले COSMICENERGY सँग सम्बन्धित सम्भावित उत्पत्ति, प्रविधि र प्रभावहरूको गहिरो बुझाइ प्राप्त गर्न सक्छन्।
