COSMICENERGY Škodlivý softvér

Novo identifikovaný malvér známy ako COSMICENERGY pritiahol pozornosť výskumníkov v oblasti kybernetickej bezpečnosti. Tento malvér sa špecificky zameriava na operačnú technológiu (OT) a priemyselné riadiace systémy (ICS), pričom sa zameriava na spôsobenie porúch v infraštruktúre elektrickej energie. Dosahuje to využívaním zraniteľností v zariadeniach IEC 60870-5-104 (IEC-104), najmä vzdialených terminálových jednotkách (RTU), ktoré sa bežne používajú pri prenose a distribúcii elektriny v Európe, na Strednom východe a v Ázii.

Pri analýze COSMICENERGY výskumníci zistili, že jej funkcie sa veľmi podobajú tým, ktoré boli pozorované pri predchádzajúcich incidentoch zahŕňajúcich malvér, ako napríklad INDUSTROYER a INDUSTROYER.V2 . Tieto minulé varianty škodlivého softvéru boli špeciálne navrhnuté tak, aby narúšali prenosové a distribučné systémy elektriny využívaním protokolu IEC-104.

Vznik COSMICENERGY poukazuje na znepokojivý trend: zmenšovanie prekážok vstupu pre rozvoj útočných schopností v oblasti OT. Zle zmýšľajúci aktéri využívajú poznatky získané z predchádzajúcich útokov na vytváranie nového a sofistikovaného malvéru, ktorý predstavuje značné riziko pre kritickú infraštruktúru.

Rušivé schopnosti škodlivého softvéru COSMICENERGY

COSMICENERGY Malware zdieľa podobnosti s incidentom INDUSTROYER z roku 2016, pokiaľ ide o jeho schopnosti a stratégiu útoku. Spôsobom, ktorý pripomína INDUSTROYER, COSMICENERGY využíva príkazy IEC-104 ON/OFF na interakciu so vzdialenými terminálovými jednotkami (RTU), pričom potenciálne využíva server MSSQL ako systém vedenia na prístup k infraštruktúre prevádzkových technológií (OT). Získaním tohto prístupu môže útočník na diaľku manipulovať s vypínačmi a ističmi elektrického vedenia, čo vedie k výpadkom napájania. COSMICENERGY pozostáva z dvoch základných komponentov: PIEHOP a LIGHTWORK.

PIEHOP, napísaný v Pythone a zabalený s PyInstaller, slúži ako nástroj na narušenie. Je schopný nadviazať spojenie so vzdialenými servermi MSSQL dodanými používateľom, čo umožňuje nahrávanie súborov a vydávanie vzdialených príkazov RTU. PIEHOP sa spolieha na LIGHTWORK pri odosielaní príkazov IEC-104, konkrétne „ZAPNUTÉ“ alebo „VYPNUTÉ“ do cieľového systému. Po vydaní príkazu sa spustiteľný súbor okamžite odstráni. Získaná vzorka PIEHOP však vykazuje chyby programovacej logiky, ktoré jej bránia úspešne vykonávať svoje riadiace schopnosti IEC-104. Výskumníci sa však domnievajú, že tieto chyby môžu vývojári hrozby ľahko opraviť.

Na druhej strane, LIGHTWORK, napísaný v C++, funguje ako nástroj na narušenie, ktorý implementuje protokol IEC-104 na úpravu stavu RTU cez TCP. Vytvára prispôsobiteľné správy IEC-104 Application Service Data Unit (ASDU) na zmenu stavu adries informačných objektov RTU (IOA) na „ZAPNUTÉ“ alebo „VYPNUTÉ“. LIGHTWORK využíva pozičné argumenty príkazového riadku na určenie cieľového zariadenia, portu a príkazu IEC-104.

COSMICENERGY vykazuje pozoruhodnú absenciu možností zisťovania, čo naznačuje, že operátor malvéru by musel pred spustením úspešného útoku vykonať interný prieskum. Táto prieskumná fáza zahŕňa zhromažďovanie špecifických informácií o prostredí vrátane IP adries servera MSSQL, poverení MSSQL a adries IP cieľových zariadení IEC-104.

Podobnosti medzi COSMICENERGY a inými hrozbami škodlivého softvéru

Zatiaľ čo COSMICENERGY sa líši od známych rodín malvéru, jeho schopnosti vykazujú pozoruhodné podobnosti s tými, ktoré boli pozorované v predchádzajúcich incidentoch. Výskumníci zaznamenali najmä významné podobnosti medzi COSMICENERGY a variantmi malvéru INDUSTROYER a INDUSTROYER.V2, ktoré boli predtým nasadené na narušenie prenosových a distribučných systémov elektriny.

Okrem podobnosti s INDUSTROYER, COSMICENERGY zdieľa technické vlastnosti s inými rodinami malvéru operačných technológií (OT). Tieto podobnosti zahŕňajú použitie Pythonu na vývoj alebo balenie a využitie open-source knižníc na implementáciu OT protokolov. Medzi významné rodiny malvéru OT, ktoré vykazujú tieto technické podobnosti, patria IRONGATE, TRITON a INCONTROLLER.

Skúmaním týchto podobností môžu odborníci v oblasti bezpečnosti získať hlbšie pochopenie potenciálneho pôvodu, techník a dôsledkov spojených s COSMICENERGY.