Złośliwe oprogramowanie COSMICENERGY

Nowo zidentyfikowane złośliwe oprogramowanie znane jako COSMICENERGY zwróciło uwagę badaczy cyberbezpieczeństwa. Szkodnik ten w szczególności atakuje technologię operacyjną (OT) i systemy sterowania przemysłowego (ICS), koncentrując się na powodowaniu zakłóceń w infrastrukturze elektroenergetycznej. Osiąga to poprzez wykorzystanie luk w zabezpieczeniach urządzeń IEC 60870-5-104 (IEC-104), w szczególności zdalnych terminali (RTU) powszechnie używanych w operacjach przesyłu i dystrybucji energii elektrycznej w Europie, na Bliskim Wschodzie iw Azji.

Analizując COSMICENERGY, badacze odkryli, że jego funkcje bardzo przypominają te zaobserwowane w poprzednich incydentach z udziałem złośliwego oprogramowania, takiego jak INDUSTROYER i INDUSTROYER.V2 . Te starsze warianty złośliwego oprogramowania zostały specjalnie zaprojektowane do zakłócania systemów przesyłu i dystrybucji energii elektrycznej poprzez wykorzystywanie protokołu IEC-104.

Pojawienie się COSMICENERGY podkreśla niepokojący trend: malejące bariery wejścia dla rozwoju zdolności ofensywnych w dziedzinie OT. Aktorzy o złych zamiarach wykorzystują wiedzę zdobytą podczas poprzednich ataków do tworzenia nowego i wyrafinowanego złośliwego oprogramowania, stwarzając poważne zagrożenie dla infrastruktury krytycznej.

Natrętne możliwości złośliwego oprogramowania COSMICENERGY

Złośliwe oprogramowanie COSMICENERGY jest podobne do incydentu INDUSTROYER z 2016 r. pod względem możliwości i strategii ataku. W sposób przypominający INDUSTROYER, COSMICENERGY wykorzystuje polecenia IEC-104 ON/OFF do interakcji ze zdalnymi terminalami (RTU), potencjalnie wykorzystując serwer MSSQL jako system kanałów dostępu do infrastruktury technologii operacyjnej (OT). Uzyskując ten dostęp, osoba atakująca może zdalnie manipulować przełącznikami linii zasilania i wyłącznikami automatycznymi, co prowadzi do przerw w dostawie prądu. COSMICENERGY składa się z dwóch podstawowych komponentów: PIEHOP i LIGHTWORK.

PIEHOP, napisany w Pythonie i spakowany z PyInstaller, służy jako narzędzie zakłócające. Jest w stanie nawiązywać połączenia z dostarczonymi przez użytkownika zdalnymi serwerami MSSQL, umożliwiając przesyłanie plików i wydawanie zdalnych poleceń do RTU. PIEHOP wykorzystuje LIGHTWORK do wysyłania poleceń IEC-104, w szczególności „ON” lub „OFF”, do docelowego systemu. Po wydaniu polecenia plik wykonywalny jest natychmiast usuwany. Jednak uzyskana próbka PIEHOP wykazuje programowe błędy logiczne, które uniemożliwiają pomyślne wykonanie funkcji kontrolnych IEC-104. Niemniej jednak badacze uważają, że twórcy zagrożenia mogą łatwo naprawić te błędy.

Z drugiej strony, LIGHTWORK, napisany w C++, działa jako narzędzie zakłócające, które implementuje protokół IEC-104 w celu modyfikowania stanu jednostek RTU przez TCP. Tworzy konfigurowalne komunikaty IEC-104 Application Service Data Unit (ASDU), aby zmienić stan adresów obiektów informacyjnych RTU (IOA) na „ON” lub „OFF”. LIGHTWORK wykorzystuje pozycyjne argumenty wiersza poleceń do określenia docelowego urządzenia, portu i polecenia IEC-104.

COSMICENERGY wykazuje zauważalny brak możliwości wykrywania, co wskazuje, że operator złośliwego oprogramowania musiałby przeprowadzić wewnętrzny rekonesans przed rozpoczęciem udanego ataku. Ta faza rekonesansu obejmuje zbieranie określonych informacji o środowisku, w tym adresów IP serwerów MSSQL, poświadczeń MSSQL oraz adresów IP docelowych urządzeń IEC-104.

Podobieństwa między COSMICENERGY a innymi zagrożeniami związanymi ze złośliwym oprogramowaniem

Chociaż COSMICENERGY różni się od znanych rodzin złośliwego oprogramowania, jego możliwości wykazują znaczne podobieństwa do tych obserwowanych w poprzednich incydentach. W szczególności badacze zauważają znaczne podobieństwa między COSMICENERGY a wariantami złośliwego oprogramowania INDUSTROYER i INDUSTROYER.V2, z których oba były wcześniej wykorzystywane do zakłócania systemów przesyłu i dystrybucji energii elektrycznej.

Oprócz podobieństw z INDUSTROYER, COSMICENERGY ma wspólne cechy techniczne z innymi rodzinami złośliwego oprogramowania technologii operacyjnych (OT). Te podobieństwa obejmują użycie Pythona do programowania lub pakowania oraz wykorzystanie bibliotek open source do implementacji protokołów OT. Godne uwagi rodziny złośliwego oprogramowania OT, które wykazują te techniczne podobieństwa, to IRONGATE, TRITON i INCONTROLLER.

Badając te podobieństwa, specjaliści ds. bezpieczeństwa mogą lepiej zrozumieć potencjalne źródła, techniki i implikacje związane z COSMICENERGY.