COSMICENERGY Zlonamerna programska oprema

Na novo odkrita zlonamerna programska oprema, znana kot COSMICENERGY, je pritegnila pozornost raziskovalcev kibernetske varnosti. Ta zlonamerna programska oprema posebej cilja na operativno tehnologijo (OT) in industrijske nadzorne sisteme (ICS), pri čemer se osredotoča na povzročanje motenj v elektroenergetski infrastrukturi. To doseže z izkoriščanjem ranljivosti v napravah IEC 60870-5-104 (IEC-104), zlasti v oddaljenih terminalskih enotah (RTU), ki se običajno uporabljajo pri prenosu in distribuciji električne energije v Evropi, na Bližnjem vzhodu in v Aziji.

Po analizi COSMICENERGY so raziskovalci odkrili, da so njegove funkcionalnosti zelo podobne tistim, ki so jih opazili v prejšnjih incidentih, ki vključujejo zlonamerno programsko opremo, kot sta INDUSTROYER in INDUSTROYER.V2 . Te pretekle različice zlonamerne programske opreme so bile posebej zasnovane za motnje prenosnih in distribucijskih sistemov električne energije z izkoriščanjem protokola IEC-104.

Pojav COSMICENERGY poudarja zaskrbljujoč trend: zmanjševanje ovir za vstop za razvoj ofenzivnih zmogljivosti na področju OT. Zlobni akterji izkoriščajo znanje, pridobljeno s prejšnjimi napadi, za ustvarjanje nove in sofisticirane zlonamerne programske opreme, ki predstavlja veliko tveganje za kritično infrastrukturo.

Vsiljive zmožnosti zlonamerne programske opreme COSMICENERGY

Zlonamerna programska oprema COSMICENERGY ima podobnosti z incidentom INDUSTROYER iz leta 2016 glede svojih zmogljivosti in strategije napada. Na način, ki spominja na INDUSTROYER, COSMICENERGY uporablja ukaze IEC-104 ON/OFF za interakcijo z oddaljenimi terminalskimi enotami (RTU-ji), pri čemer potencialno uporablja strežnik MSSQL kot kanalski sistem za dostop do infrastrukture operativne tehnologije (OT). S pridobitvijo tega dostopa lahko napadalec na daljavo manipulira s stikali in odklopniki električnih vodov, kar vodi do motenj napajanja. COSMICENERGY je sestavljena iz dveh osnovnih komponent: PIEHOP in LIGHTWORK.

PIEHOP, napisan v Pythonu in pakiran s PyInstallerjem, služi kot orodje za motnje. Sposoben je vzpostaviti povezave z oddaljenimi strežniki MSSQL, ki jih zagotovi uporabnik, kar omogoča nalaganje datotek in izdajanje oddaljenih ukazov RTU-jem. PIEHOP se zanaša na LIGHTWORK za pošiljanje ukazov IEC-104, zlasti 'ON' ali 'OFF', v ciljni sistem. Po izdaji ukaza se izvršljiva datoteka takoj izbriše. Vendar pa dobljeni vzorec PIEHOP kaže programske logične napake, ki mu preprečujejo uspešno izvajanje svojih nadzornih zmogljivosti IEC-104. Kljub temu raziskovalci verjamejo, da lahko razvijalci grožnje te napake zlahka odpravijo.

Po drugi strani pa LIGHTWORK, napisan v C++, deluje kot orodje za motnje, ki implementira protokol IEC-104 za spreminjanje stanja RTU prek TCP. Izdeluje prilagodljiva sporočila IEC-104 Application Service Data Unit (ASDU), da spremeni stanje RTU informacijskih objektnih naslovov (IOA) na »ON« ali »OFF«. LIGHTWORK uporablja pozicijske argumente ukazne vrstice za določitev ciljne naprave, vrat in ukaza IEC-104.

COSMICENERGY izkazuje opazno odsotnost zmožnosti odkrivanja, kar kaže, da bi moral upravljavec zlonamerne programske opreme opraviti notranji izvid, preden bi izvedel uspešen napad. Ta faza izvidovanja vključuje zbiranje specifičnih informacij o okolju, vključno z naslovi IP strežnika MSSQL, poverilnicami MSSQL in naslovi IP ciljnih naprav IEC-104.

Podobnosti med COSMICENERGY in drugimi grožnjami zlonamerne programske opreme

Medtem ko se COSMICENERGY razlikuje od znanih družin zlonamerne programske opreme, njegove zmogljivosti kažejo opazne podobnosti s tistimi, opaženimi v prejšnjih incidentih. Zlasti raziskovalci opažajo precejšnje podobnosti med COSMICENERGY in različicama zlonamerne programske opreme INDUSTROYER in INDUSTROYER.V2, ki sta bili prej uporabljeni za motnje prenosnih in distribucijskih sistemov električne energije.

Poleg podobnosti z INDUSTROYER, ima COSMICENERGY tehnične značilnosti z drugimi družinami zlonamerne programske opreme operativne tehnologije (OT). Te podobnosti vključujejo uporabo Pythona za razvoj ali pakiranje in uporabo odprtokodnih knjižnic za izvajanje protokolov OT. Pomembne družine zlonamerne programske opreme OT, ki kažejo te tehnične podobnosti, vključujejo IRONGATE, TRITON in INCONTROLLER.

S preučevanjem teh podobnosti lahko varnostni strokovnjaki pridobijo globlje razumevanje možnih izvorov, tehnik in posledic, povezanih s KOZMIČNO ENERGIJO.