Вредоносное ПО COSMICENERGY

Недавно выявленное вредоносное ПО, известное как COSMICENERGY, привлекло внимание исследователей кибербезопасности. Эта вредоносная программа специально нацелена на операционные технологии (OT) и промышленные системы управления (ICS), фокусируясь на нарушении работы электроэнергетической инфраструктуры. Это достигается за счет использования уязвимостей в устройствах IEC 60870-5-104 (IEC-104), в частности в удаленных терминалах (RTU), обычно используемых в операциях передачи и распределения электроэнергии в Европе, на Ближнем Востоке и в Азии.

Проанализировав COSMICENERGY, исследователи обнаружили, что его функциональные возможности очень похожи на те, которые наблюдались в предыдущих инцидентах с вредоносными программами, такими как INDUSTROYER и INDUSTROYER.V2 . Эти прошлые варианты вредоносных программ были специально разработаны для нарушения работы систем передачи и распределения электроэнергии за счет использования протокола IEC-104.

Появление COSMICENERGY подчеркивает тревожную тенденцию: снижение входных барьеров для развития наступательных возможностей в сфере ОТ. Злоумышленники используют знания, полученные в результате предыдущих атак, для создания новых и сложных вредоносных программ, которые создают значительные риски для критически важной инфраструктуры.

Внезапные возможности вредоносного ПО COSMICENERGY

Вредоносное ПО COSMICENERGY имеет сходство с инцидентом INDUSTROYER 2016 года с точки зрения его возможностей и стратегии атаки. В манере, напоминающей INDUSTROYER, COSMICENERGY использует команды IEC-104 ON/OFF для взаимодействия с удаленными терминальными устройствами (RTU), потенциально используя сервер MSSQL в качестве системы каналов для доступа к инфраструктуре операционных технологий (OT). Получив этот доступ, злоумышленник может удаленно манипулировать выключателями и автоматическими выключателями линий электропередач, что приводит к перебоям в подаче электроэнергии. COSMICENERGY состоит из двух основных компонентов: PIEHOP и LIGHTWORK.

PIEHOP, написанный на Python и упакованный с помощью PyInstaller, служит инструментом разрушения. Он способен устанавливать соединения с предоставленными пользователями удаленными серверами MSSQL, позволяя загружать файлы и выдавать удаленные команды RTU. PIEHOP полагается на LIGHTWORK для отправки команд IEC-104, в частности «ВКЛ» или «ВЫКЛ», целевой системе. После выдачи команды исполняемый файл сразу удаляется. Однако полученный образец PIEHOP демонстрирует логические ошибки программирования, которые не позволяют ему успешно выполнять свои возможности управления IEC-104. Тем не менее исследователи считают, что эти ошибки могут быть легко исправлены разработчиками угрозы.

С другой стороны, LIGHTWORK, написанный на C++, функционирует как инструмент разрушения, реализующий протокол IEC-104 для изменения состояния удаленных терминалов по протоколу TCP. Он создает настраиваемые сообщения IEC-104 Application Service Data Unit (ASDU) для изменения состояния адресов информационных объектов RTU (IOA) на «ON» или «OFF». LIGHTWORK использует позиционные аргументы командной строки для указания целевого устройства, порта и команды IEC-104.

COSMICENERGY демонстрирует заметное отсутствие возможностей обнаружения, что указывает на то, что оператору вредоносного ПО необходимо будет провести внутреннюю разведку перед запуском успешной атаки. Эта фаза разведки включает в себя сбор конкретной информации об окружающей среде, включая IP-адреса сервера MSSQL, учетные данные MSSQL и IP-адреса целевых устройств IEC-104.

Сходства между COSMICENERGY и другими вредоносными программами

Хотя COSMICENERGY отличается от известных семейств вредоносного ПО, его возможности демонстрируют заметное сходство с теми, что наблюдались в предыдущих инцидентах. В частности, исследователи отмечают значительное сходство между COSMICENERGY и вариантами вредоносного ПО INDUSTROYER и INDUSTROYER.V2, которые ранее применялись для нарушения работы систем передачи и распределения электроэнергии.

В дополнение к сходству с INDUSTROYER, COSMICENERGY имеет общие технические характеристики с другими семействами вредоносных программ операционных технологий (OT). Эти сходства включают использование Python для разработки или упаковки, а также использование библиотек с открытым исходным кодом для реализации протоколов OT. Известные семейства вредоносных программ OT, которые демонстрируют это техническое сходство, включают IRONGATE, TRITON и INCONTROLLER.

Исследуя эти сходства, специалисты по безопасности могут глубже понять потенциальное происхождение, методы и последствия, связанные с COSMICENERGY.