COSMICENERGY-malware

Een nieuw geïdentificeerde malware, bekend als COSMICENERGY, heeft de aandacht getrokken van cyberbeveiligingsonderzoekers. Deze malware richt zich specifiek op Operational Technology (OT) en Industrial Control Systems (ICS) en richt zich op het veroorzaken van verstoringen in de elektriciteitsinfrastructuur. Het bereikt dit door misbruik te maken van kwetsbaarheden in IEC 60870-5-104 (IEC-104)-apparaten, met name Remote Terminal Units (RTU's) die gewoonlijk worden gebruikt bij elektrische transmissie- en distributieactiviteiten in Europa, het Midden-Oosten en Azië.

Bij het analyseren van COSMICENERGY hebben onderzoekers ontdekt dat de functionaliteiten sterk lijken op die waargenomen bij eerdere incidenten met malware, zoals INDUSTROYER en INDUSTROYER.V2 . Deze eerdere malwarevarianten zijn specifiek ontworpen om elektriciteitstransmissie- en distributiesystemen te verstoren door gebruik te maken van het IEC-104-protocol.

De opkomst van COSMICENERGY wijst op een zorgwekkende trend: de afnemende toetredingsdrempels voor het ontwikkelen van offensieve capaciteiten op het gebied van OT. Kwaadaardige actoren maken gebruik van kennis die is opgedaan bij eerdere aanvallen om nieuwe en geavanceerde malware te creëren, wat aanzienlijke risico's inhoudt voor kritieke infrastructuur.

De opdringerige mogelijkheden van de COSMICENERGY-malware

De COSMICENERGY-malware vertoont overeenkomsten met het INDUSTROYER-incident uit 2016 wat betreft de mogelijkheden en aanvalsstrategie. Op een manier die doet denken aan INDUSTROYER, gebruikt COSMICENERGY IEC-104 AAN/UIT-commando's om te communiceren met remote terminal units (RTU's), waarbij mogelijk een MSSQL-server wordt gebruikt als een conduit-systeem om toegang te krijgen tot de operationele technologie (OT)-infrastructuur. Door deze toegang te verkrijgen, kan een aanvaller op afstand stroomlijnschakelaars en stroomonderbrekers manipuleren, wat leidt tot stroomonderbrekingen. COSMICENERGY bestaat uit twee primaire componenten: PIEHOP en LIGHTWORK.

PIEHOP, geschreven in Python en verpakt met PyInstaller, dient als een disruptietool. Het is in staat om verbindingen tot stand te brengen met door de gebruiker geleverde externe MSSQL-servers, waardoor bestandsuploads mogelijk zijn en externe opdrachten aan RTU's kunnen worden gegeven. PIEHOP vertrouwt op LIGHTWORK om IEC-104-commando's, met name 'AAN' of 'UIT', naar het beoogde systeem te sturen. Na het geven van de opdracht wordt het uitvoerbare bestand onmiddellijk verwijderd. Het verkregen voorbeeld van PIEHOP vertoont echter programmeerlogicafouten waardoor het zijn IEC-104-besturingsmogelijkheden niet met succes kan uitvoeren. Desalniettemin zijn onderzoekers van mening dat deze fouten eenvoudig kunnen worden verholpen door de ontwikkelaars van de dreiging.

Aan de andere kant functioneert LIGHTWORK, geschreven in C++, als een disruptietool die het IEC-104-protocol implementeert om de status van RTU's via TCP te wijzigen. Het maakt aanpasbare IEC-104 Application Service Data Unit (ASDU)-berichten om de status van RTU Information Object Addresses (IOA's) te wijzigen in 'AAN' of 'UIT'. LIGHTWORK gebruikt positionele opdrachtregelargumenten om het doelapparaat, de poort en de IEC-104-opdracht te specificeren.

COSMICENERGY vertoont een opmerkelijke afwezigheid van ontdekkingsmogelijkheden, wat aangeeft dat de malware-operator een interne verkenning zou moeten uitvoeren voordat hij een succesvolle aanval kan lanceren. Deze verkenningsfase omvat het verzamelen van specifieke omgevingsinformatie, waaronder MSSQL-server-IP-adressen, MSSQL-referenties en de IP-adressen van beoogde IEC-104-apparaten.

Overeenkomsten tussen COSMICENERGY en andere malwarebedreigingen

Hoewel COSMICENERGY verschilt van bekende malwarefamilies, vertonen de mogelijkheden opmerkelijke overeenkomsten met die waargenomen bij eerdere incidenten. Onderzoekers merken met name significante overeenkomsten op tussen COSMICENERGY en de malwarevarianten INDUSTROYER en INDUSTROYER.V2, die beide eerder werden ingezet om elektriciteitstransmissie- en distributiesystemen te verstoren.

Naast de overeenkomsten met INDUSTROYER deelt COSMICENERGY technische kenmerken met andere families van operationele technologie (OT) malware. Deze overeenkomsten omvatten het gebruik van Python voor ontwikkeling of verpakking en het gebruik van open-sourcebibliotheken voor het implementeren van OT-protocollen. Bekende OT-malwarefamilies die deze technische gelijkenissen vertonen, zijn IRONGATE, TRITON en INCONTROLLER.

Door deze overeenkomsten te onderzoeken, kunnen beveiligingsprofessionals een dieper inzicht krijgen in de mogelijke oorsprong, technieken en implicaties van COSMICENERGY.