COSMICENERGY Malware

Um malware recém-identificado conhecido como COSMICENERGY chamou a atenção de pesquisadores de segurança cibernética. Esse malware visa especificamente a Tecnologia Operacional (OT) e os Sistemas de Controle Industrial (ICS), com foco em causar interrupções na infraestrutura de energia elétrica. Ele consegue isso explorando vulnerabilidades em dispositivos IEC 60870-5-104 (IEC-104), particularmente Unidades Terminais Remotas (RTUs) comumente utilizadas em operações de transmissão e distribuição elétrica na Europa, Oriente Médio e Ásia.

Ao analisar o COSMICENERGY, os pesquisadores descobriram que suas funcionalidades se assemelham muito àquelas observadas em incidentes anteriores envolvendo malware, como INDUSTROYER e INDUSTROYER.V2. Essas variantes anteriores de malware foram projetadas especificamente para interromper os sistemas de transmissão e distribuição de eletricidade, explorando o protocolo IEC-104.

O surgimento da COSMICENERGY destaca uma tendência preocupante: a diminuição das barreiras de entrada para o desenvolvimento de capacidades ofensivas no domínio do OT. Atores mal-intencionados estão aproveitando o conhecimento adquirido em ataques anteriores para criar malware novo e sofisticado, apresentando riscos significativos à infraestrutura crítica.

Os Recursos Intrusivos do COSMICENERGY Malware 

O malware COSMICENERGY compartilha semelhanças com o incidente INDUSTROYER de 2016 em termos de recursos e estratégia de ataque. De uma maneira que lembra a INDUSTROYER, a COSMICENERGY utiliza comandos IEC-104 ON/OFF para interagir com unidades terminais remotas (RTUs), potencialmente empregando um servidor MSSQL como um sistema de conduíte para acessar a infraestrutura de tecnologia operacional (OT). Ao obter esse acesso, um invasor pode manipular remotamente interruptores e disjuntores de linha de energia, levando a interrupções de energia. COSMICENERGY consiste em dois componentes principais: PIEHOP e LIGHTWORK.

O PIEHOP, escrito em Python e empacotado com o PyInstaller, serve como uma ferramenta de interrupção. Ele é capaz de estabelecer conexões com servidores MSSQL remotos fornecidos pelo usuário, permitindo uploads de arquivos e emissão de comandos remotos para RTUs. O PIEHOP depende do LIGHTWORK para enviar comandos IEC-104, especificamente 'ON' ou 'OFF', para o sistema de destino. Depois de emitir o comando, o executável é excluído imediatamente. No entanto, a amostra obtida do PIEHOP exibe erros de lógica de programação que o impedem de executar com sucesso seus recursos de controle IEC-104. No entanto, os pesquisadores acreditam que esses erros podem ser facilmente corrigidos pelos desenvolvedores da ameaça.

Por outro lado, o LIGHTWORK, escrito em C++, funciona como uma ferramenta de disrupção que implementa o protocolo IEC-104 para modificar o estado das RTUs sobre TCP. Ele cria mensagens customizáveis IEC-104 Application Service Data Unit (ASDU) para alterar o estado dos Endereços de Objeto de Informação RTU (IOAs) para 'ON' ou 'OFF'. O LIGHTWORK utiliza argumentos de linha de comando posicionais para especificar o dispositivo de destino, a porta e o comando IEC-104.

COSMICENERGY exibe uma notável ausência de recursos de descoberta, indicando que o operador de malware precisaria realizar um reconhecimento interno antes de lançar um ataque bem-sucedido. Essa fase de reconhecimento envolve a coleta de informações específicas do ambiente, incluindo endereços IP do servidor MSSQL, credenciais MSSQL e endereços IP dos dispositivos IEC-104 visados.

Semelhanças entre o COSMICENERGY e Outras Ameaças de Malware

Embora o COSMICENERGY seja diferente das famílias de malware conhecidas, seus recursos demonstram semelhanças notáveis com os observados em incidentes anteriores. Particularmente, os pesquisadores observam semelhanças significativas entre o COSMICENERGY e as variantes de malware INDUSTROYER e INDUSTROYER.V2, ambas implantadas anteriormente para interromper os sistemas de transmissão e distribuição de eletricidade.

Além das semelhanças com o INDUSTROYER, o COSMICENERGY compartilha características técnicas com outras famílias de malware de tecnologia operacional (OT). Essas semelhanças incluem o uso de Python para desenvolvimento ou empacotamento e a utilização de bibliotecas de código aberto para implementar protocolos OT. Notáveis famílias de malware OT que exibem essas semelhanças técnicas incluem IRONGATE, TRITON e INCONTROLLER.

Ao examinar essas semelhanças, os profissionais de segurança podem obter uma compreensão mais profunda das possíveis origens, técnicas e implicações associadas ao COSMICENERGY.