COSMICENERGY Malware

Un malware nou identificat, cunoscut sub numele de COSMICENERGY, a atras atenția cercetătorilor în domeniul securității cibernetice. Acest malware vizează în mod special Tehnologia Operațională (OT) și Sistemele de Control Industrial (ICS), concentrându-se pe cauzarea de perturbări în infrastructura de energie electrică. Acesta realizează acest lucru prin exploatarea vulnerabilităților din dispozitivele IEC 60870-5-104 (IEC-104), în special unități terminale la distanță (RTU) utilizate în mod obișnuit în operațiunile de transport și distribuție electrică în Europa, Orientul Mijlociu și Asia.

Analizând COSMICENERGY, cercetătorii au descoperit că funcționalitățile sale seamănă foarte mult cu cele observate în incidentele anterioare care implică programe malware, cum ar fi INDUSTROYER și INDUSTROYER.V2 . Aceste variante de malware anterioare au fost concepute special pentru a perturba sistemele de transport și distribuție a energiei electrice prin exploatarea protocolului IEC-104.

Apariția COSMICENERGY evidențiază o tendință îngrijorătoare: scăderea barierelor de intrare pentru dezvoltarea capacităților ofensive în domeniul OT. Actorii cu mintea răutăcioasă folosesc cunoștințele dobândite din atacurile anterioare pentru a crea malware noi și sofisticați, care prezintă riscuri semnificative pentru infrastructura critică.

Capabilitățile intruzive ale programului malware COSMICENERGY

Programul malware COSMICENERGY are asemănări cu incidentul INDUSTROYER din 2016 în ceea ce privește capacitățile și strategia de atac. Într-o manieră care amintește de INDUSTROYER, COSMICENERGY utilizează comenzi ON/OFF IEC-104 pentru a interacționa cu unitățile terminale de la distanță (RTU), utilizând potențial un server MSSQL ca sistem de conducte pentru a accesa infrastructura tehnologiei operaționale (OT). Obținând acest acces, un atacator poate manipula de la distanță întrerupătoarele și întreruptoarele de circuit, ceea ce duce la întreruperi de alimentare. COSMICENERGY constă din două componente principale: PIEHOP și LIGHTWORK.

PIEHOP, scris în Python și ambalat cu PyInstaller, servește ca instrument de întrerupere. Este capabil să stabilească conexiuni cu servere MSSQL la distanță furnizate de utilizator, permițând încărcarea fișierelor și emiterea de comenzi de la distanță către RTU. PIEHOP se bazează pe LIGHTWORK pentru a trimite comenzi IEC-104, în special „ON” sau „OFF”, către sistemul vizat. După lansarea comenzii, executabilul este șters imediat. Cu toate acestea, eșantionul obținut de PIEHOP prezintă erori de logică de programare care îl împiedică să-și execute cu succes capabilitățile de control IEC-104. Cu toate acestea, cercetătorii cred că aceste erori pot fi corectate cu ușurință de către dezvoltatorii amenințării.

Pe de altă parte, LIGHTWORK, scris în C++, funcționează ca un instrument de întrerupere care implementează protocolul IEC-104 pentru a modifica starea RTU-urilor prin TCP. Acesta creează mesaje personalizabile IEC-104 Application Service Data Unit (ASDU) pentru a modifica starea Adreselor obiectelor de informare (IOA) RTU la „ON” sau „OFF”. LIGHTWORK utilizează argumente poziționale ale liniei de comandă pentru a specifica dispozitivul țintă, portul și comanda IEC-104.

COSMICENERGY prezintă o absență notabilă a capacităților de descoperire, ceea ce indică faptul că operatorul de programe malware ar trebui să efectueze o recunoaștere internă înainte de a lansa un atac cu succes. Această fază de recunoaștere implică colectarea de informații specifice de mediu, inclusiv adresele IP ale serverului MSSQL, acreditările MSSQL și adresele IP ale dispozitivelor IEC-104 vizate.

Asemănări între COSMICENERGY și alte amenințări malware

În timp ce COSMICENERGY este diferit de familiile de malware cunoscute, capacitățile sale demonstrează asemănări notabile cu cele observate în incidentele anterioare. În special, cercetătorii observă asemănări semnificative între COSMICENERGY și variantele de malware INDUSTROYER și INDUSTROYER.V2, ambele fiind implementate anterior pentru a perturba sistemele de transport și distribuție a energiei electrice.

Pe lângă asemănările cu INDUSTROYER, COSMICENERGY împărtășește caracteristici tehnice cu alte familii de malware de tehnologie operațională (OT). Aceste asemănări includ utilizarea Python pentru dezvoltare sau ambalare și utilizarea bibliotecilor open-source pentru implementarea protocoalelor OT. Familiile notabile de programe malware OT care prezintă aceste asemănări tehnice includ IRONGATE, TRITON și INCONTROLLER.

Examinând aceste asemănări, profesioniștii în securitate pot obține o înțelegere mai profundă a potențialelor origini, tehnici și implicații asociate cu COSMICENERGY.