Flerlicensrabatter
Threat Database Malware COSMICENERGY Skadlig programvara

COSMICENERGY Skadlig programvara

Med Mezo år Malware
Översätt till:
Svenska

En nyligen identifierad skadlig programvara känd som COSMICENERGY har uppmärksammat cybersäkerhetsforskare. Denna skadliga programvara riktar sig specifikt till Operational Technology (OT) och Industrial Control Systems (ICS), med fokus på att orsaka störningar i elkraftinfrastrukturen. Den uppnår detta genom att utnyttja sårbarheter i IEC 60870-5-104 (IEC-104) enheter, särskilt Remote Terminal Units (RTUs) som vanligtvis används i elöverföring och distribution i Europa, Mellanöstern och Asien.

Efter att ha analyserat COSMICENERGY har forskare upptäckt att dess funktioner mycket liknar de som observerats vid tidigare incidenter med skadlig programvara, som INDUSTROYER och INDUSTROYER.V2 . Dessa tidigare malware-varianter var speciellt utformade för att störa elöverföring och distributionssystem genom att utnyttja IEC-104-protokollet.

Framväxten av COSMICENERGY belyser en oroande trend: de minskande hindren för inträde för att utveckla offensiva förmågor i OT:s rike. Ondsinnade aktörer utnyttjar kunskap från tidigare attacker för att skapa ny och sofistikerad skadlig programvara, som utgör betydande risker för kritisk infrastruktur.

De påträngande funktionerna hos COSMICENERGY Malware

COSMICENERGY Malware delar likheter med 2016 INDUSTROYER-incidenten när det gäller dess kapacitet och attackstrategi. På ett sätt som påminner om INDUSTROYER, använder COSMICENERGY IEC-104 PÅ/AV-kommandon för att interagera med fjärrterminalenheter (RTU), eventuellt använda en MSSQL-server som ett kanalsystem för att komma åt operativ teknologi (OT) infrastruktur. Genom att få denna åtkomst kan en angripare fjärrmanipulera strömbrytare och strömbrytare, vilket leder till strömavbrott. COSMICENERGY består av två primära komponenter: PIEHOP och LIGHTTWORK.

PIEHOP, skrivet i Python och paketerat med PyInstaller, fungerar som ett störningsverktyg. Den kan upprätta anslutningar med användarlevererade fjärr-MSSQL-servrar, vilket möjliggör filuppladdning och utfärdande av fjärrkommandon till RTU:er. PIEHOP förlitar sig på LIGHTTWORK för att skicka IEC-104-kommandon, specifikt 'ON' eller 'OFF', till det riktade systemet. Efter att ha utfärdat kommandot raderas den körbara filen omedelbart. Det erhållna exemplet av PIEHOP uppvisar dock programmeringslogikfel som hindrar den från att framgångsrikt utföra sina IEC-104-kontrollmöjligheter. Ändå tror forskare att dessa fel lätt kan åtgärdas av utvecklarna av hotet.

Å andra sidan fungerar LIGHTTWORK, skrivet i C++, som ett störningsverktyg som implementerar IEC-104-protokollet för att modifiera tillståndet för RTU:er över TCP. Den skapar anpassningsbara IEC-104 Application Service Data Unit-meddelanden (ASDU) för att ändra tillståndet för RTU Information Object Addresses (IOA) till antingen "ON" eller "OFF". LIGHTTWORK använder positionella kommandoradsargument för att specificera målenheten, porten och IEC-104-kommandot.

COSMICENERGY uppvisar en anmärkningsvärd avsaknad av upptäcktsmöjligheter, vilket indikerar att skadlig programvara skulle behöva genomföra en intern spaning innan en framgångsrik attack påbörjas. Denna spaningsfas involverar insamling av specifik miljöinformation, inklusive MSSQL-serverns IP-adresser, MSSQL-referenser och IP-adresserna för riktade IEC-104-enheter.

Likheter mellan COSMICENERGY och andra hot mot skadlig programvara

Även om COSMICENERGY skiljer sig från kända skadliga programfamiljer, uppvisar dess kapacitet anmärkningsvärda likheter med de som observerats i tidigare incidenter. Särskilt noterar forskare betydande likheter mellan COSMICENERGY och INDUSTROYER och INDUSTROYER.V2 malware-varianter, som båda tidigare har distribuerats för att störa överförings- och distributionssystem för el.

Förutom likheterna med INDUSTROYER delar COSMICENERGY tekniska egenskaper med andra familjer av skadlig programvara för operationell teknologi (OT). Dessa likheter inkluderar användningen av Python för utveckling eller paketering och användningen av bibliotek med öppen källkod för att implementera OT-protokoll. Anmärkningsvärda OT-skadliga programfamiljer som uppvisar dessa tekniska likheter inkluderar IRONGATE, TRITON och INCONTROLLER.

Genom att undersöka dessa likheter kan säkerhetspersonal få en djupare förståelse för de potentiella ursprungen, teknikerna och implikationerna förknippade med COSMICENERGY.

 

Trendigt

Mest sedda

Läser in...