COSMICENERGY Malware

Një malware i sapoidentifikuar i njohur si COSMICENERGY ka tërhequr vëmendjen e studiuesve të sigurisë kibernetike. Ky malware synon në mënyrë specifike Teknologjinë Operative (OT) dhe Sistemet e Kontrollit Industrial (ICS), duke u fokusuar në shkaktimin e ndërprerjeve në infrastrukturën e energjisë elektrike. Ai e arrin këtë duke shfrytëzuar dobësitë në pajisjet IEC 60870-5-104 (IEC-104), veçanërisht Njësitë Terminale në distancë (RTU) të përdorura zakonisht në operacionet e transmetimit dhe shpërndarjes elektrike në Evropë, Lindjen e Mesme dhe Azi.

Pas analizimit të COSMICENERGY, studiuesit kanë zbuluar se funksionalitetet e tij ngjajnë shumë me ato të vërejtura në incidentet e mëparshme që përfshijnë malware, si INDUSTROYER dhe INDUSTROYER.V2 . Këto variante të mëparshme malware janë krijuar posaçërisht për të prishur sistemet e transmetimit dhe shpërndarjes së energjisë elektrike duke shfrytëzuar protokollin IEC-104.

Shfaqja e COSMICENERGY nxjerr në pah një prirje shqetësuese: zvogëlimin e pengesave për hyrjen për zhvillimin e aftësive sulmuese në fushën e OT. Aktorët me mendje të liga po përdorin njohuritë e fituara nga sulmet e mëparshme për të krijuar malware të ri dhe të sofistikuar, duke paraqitur rreziqe të konsiderueshme për infrastrukturën kritike.

Aftësitë ndërhyrëse të malware-it COSMICENERGY

Malware COSMICENERGY ndan ngjashmëri me incidentin INDUSTROYER 2016 për sa i përket aftësive dhe strategjisë së sulmit. Në një mënyrë që të kujton INDUSTROYER, COSMICENERGY përdor komandat IEC-104 ON/OFF për të ndërvepruar me njësitë terminale në distancë (RTU), duke përdorur potencialisht një server MSSQL si një sistem kanali për të hyrë në infrastrukturën e teknologjisë operative (OT). Duke fituar këtë akses, një sulmues mund të manipulojë nga distanca çelsat e linjës së energjisë dhe ndërprerësit, duke çuar në ndërprerje të energjisë. COSMICENERGY përbëhet nga dy komponentë kryesorë: PIEHOP dhe LIGHTWORK.

PIEHOP, i shkruar në Python dhe i paketuar me PyInstaller, shërben si një mjet përçarjeje. Ai është në gjendje të krijojë lidhje me serverët MSSQL në distancë të furnizuar nga përdoruesi, duke lejuar ngarkimin e skedarëve dhe lëshimin e komandave në distancë për RTU-të. PIEHOP mbështetet në LIGHTWORK për të dërguar komandat IEC-104, veçanërisht 'ON' ose 'OFF' në sistemin e synuar. Pas lëshimit të komandës, ekzekutuesi fshihet menjëherë. Megjithatë, kampioni i marrë i PIEHOP shfaq gabime logjike programimi që e pengojnë atë të ekzekutojë me sukses aftësitë e tij të kontrollit IEC-104. Megjithatë, studiuesit besojnë se këto gabime mund të korrigjohen lehtësisht nga zhvilluesit e kërcënimit.

Nga ana tjetër, LIGHTWORK, i shkruar në C++, funksionon si një mjet përçarjeje që zbaton protokollin IEC-104 për të modifikuar gjendjen e RTU-ve mbi TCP. Ai krijon mesazhe të personalizueshme të Njësisë së të Dhënave të Shërbimit të Aplikimit IEC-104 (ASDU) për të ndryshuar gjendjen e adresave të objekteve të informacionit RTU (IOA) ose në 'ON' ose 'OFF'. LIGHTWORK përdor argumentet e linjës së komandës pozicionale për të specifikuar pajisjen e synuar, portin dhe komandën IEC-104.

COSMICENERGY shfaq një mungesë të dukshme të aftësive zbuluese, duke treguar se operatori i malware do të duhet të kryejë një zbulim të brendshëm përpara se të nisë një sulm të suksesshëm. Kjo fazë zbulimi përfshin mbledhjen e informacionit specifik të mjedisit, duke përfshirë adresat IP të serverit MSSQL, kredencialet MSSQL dhe adresat IP të pajisjeve të synuara IEC-104.

Ngjashmëritë midis COSMICENERGY dhe kërcënimeve të tjera malware

Ndërsa COSMICENERGY është i ndryshëm nga familjet e njohura të malware, aftësitë e tij tregojnë ngjashmëri të dukshme me ato të vërejtura në incidentet e mëparshme. Veçanërisht, studiuesit vërejnë ngjashmëri të konsiderueshme midis COSMICENERGY dhe varianteve të malware INDUSTROYER dhe INDUSTROYER.V2, të cilat të dyja ishin vendosur më parë për të prishur sistemet e transmetimit dhe shpërndarjes së energjisë elektrike.

Përveç ngjashmërive me INDUSTROYER, COSMICENERGY ndan karakteristikat teknike me familjet e tjera të malware të teknologjisë operacionale (OT). Këto ngjashmëri përfshijnë përdorimin e Python për zhvillim ose paketim dhe përdorimin e bibliotekave me burim të hapur për zbatimin e protokolleve OT. Familje të dukshme malware OT që shfaqin këto ngjashmëri teknike përfshijnë IRONGATE, TRITON dhe INCONTROLLER.

Duke ekzaminuar këto ngjashmëri, profesionistët e sigurisë mund të fitojnë një kuptim më të thellë të origjinës, teknikave dhe implikimeve të mundshme që lidhen me COSMICENERGY.