COSMICENERGY มัลแวร์

มัลแวร์ที่เพิ่งค้นพบใหม่ที่รู้จักกันในชื่อ COSMICENERGY ได้ดึงดูดความสนใจของนักวิจัยด้านความปลอดภัยในโลกไซเบอร์ มัลแวร์นี้มุ่งเป้าไปที่เทคโนโลยีการดำเนินงาน (OT) และระบบควบคุมอุตสาหกรรม (ICS) โดยเฉพาะ โดยมุ่งเน้นที่การก่อให้เกิดการหยุดชะงักในโครงสร้างพื้นฐานด้านพลังงานไฟฟ้า โดยใช้ประโยชน์จากช่องโหว่ในอุปกรณ์ IEC 60870-5-104 (IEC-104) โดยเฉพาะอย่างยิ่ง Remote Terminal Units (RTU) ที่ใช้กันทั่วไปในการดำเนินการส่งและจ่ายไฟฟ้าทั่วยุโรป ตะวันออกกลาง และเอเชีย

เมื่อวิเคราะห์ COSMICENERGY นักวิจัยได้ค้นพบว่าการทำงานของมันใกล้เคียงกับที่พบในเหตุการณ์ก่อนหน้านี้ที่เกี่ยวข้องกับมัลแวร์ เช่น INDUSTROYER และ INDUSTROYER.V2 มัลแวร์รุ่นต่างๆ ในอดีตเหล่านี้ได้รับการออกแบบมาโดยเฉพาะเพื่อขัดขวางระบบส่งและจำหน่ายไฟฟ้าโดยใช้ประโยชน์จากโปรโตคอล IEC-104

การเกิดขึ้นของ COSMICENERGY เน้นย้ำถึงแนวโน้มที่เกี่ยวข้อง: อุปสรรคที่ลดลงในการเข้าสู่การพัฒนาขีดความสามารถเชิงรุกในขอบเขตของ OT ผู้กระทำการที่ชั่วร้ายใช้ประโยชน์จากความรู้ที่ได้รับจากการโจมตีครั้งก่อนเพื่อสร้างมัลแวร์ใหม่ที่ซับซ้อน ซึ่งก่อให้เกิดความเสี่ยงอย่างมากต่อโครงสร้างพื้นฐานที่สำคัญ

ความสามารถในการบุกรุกของมัลแวร์ COSMICENERGY

มัลแวร์ COSMICENERGY มีความคล้ายคลึงกันกับเหตุการณ์ INDUSTROYER ในปี 2559 ในแง่ของความสามารถและกลยุทธ์การโจมตี ในลักษณะที่ชวนให้นึกถึง INDUSTROYER COSMICENERGY ใช้คำสั่งเปิด/ปิด IEC-104 เพื่อโต้ตอบกับหน่วยปลายทางระยะไกล (RTUs) โดยอาจใช้เซิร์ฟเวอร์ MSSQL เป็นระบบท่อเพื่อเข้าถึงโครงสร้างพื้นฐานของเทคโนโลยีการดำเนินงาน (OT) ด้วยการเข้าถึงนี้ ผู้โจมตีสามารถจัดการสวิตช์สายไฟและเบรกเกอร์วงจรจากระยะไกล ซึ่งนำไปสู่การหยุดชะงักของไฟฟ้า COSMICENERGY ประกอบด้วยสององค์ประกอบหลัก: PIEHOP และ LIGHTWORK

PIEHOP ซึ่งเขียนด้วย Python และบรรจุด้วย PyInstaller ทำหน้าที่เป็นเครื่องมือขัดขวาง สามารถสร้างการเชื่อมต่อกับเซิร์ฟเวอร์ MSSQL ระยะไกลที่ผู้ใช้จัดหา ทำให้สามารถอัปโหลดไฟล์และออกคำสั่งระยะไกลไปยัง RTU PIEHOP อาศัย LIGHTWORK เพื่อส่งคำสั่ง IEC-104 โดยเฉพาะ 'ON' หรือ 'OFF' ไปยังระบบเป้าหมาย หลังจากออกคำสั่ง ปฏิบัติการจะถูกลบทันที อย่างไรก็ตาม ตัวอย่างที่ได้รับของ PIEHOP แสดงข้อผิดพลาดทางตรรกะในการเขียนโปรแกรมซึ่งทำให้ไม่สามารถดำเนินการตามความสามารถในการควบคุม IEC-104 ได้สำเร็จ อย่างไรก็ตาม นักวิจัยเชื่อว่าข้อผิดพลาดเหล่านี้สามารถแก้ไขได้อย่างง่ายดายโดยผู้พัฒนาภัยคุกคาม

ในทางกลับกัน LIGHTWORK ซึ่งเขียนด้วยภาษา C++ ทำหน้าที่เป็นเครื่องมือหยุดการทำงานที่ใช้โปรโตคอล IEC-104 เพื่อแก้ไขสถานะของ RTU บน TCP มันสร้างข้อความ IEC-104 Application Service Data Unit (ASDU) ที่ปรับแต่งได้เพื่อเปลี่ยนสถานะของ RTU Information Object Addresses (IOA) เป็น 'ON' หรือ 'OFF' LIGHTWORK ใช้อาร์กิวเมนต์บรรทัดคำสั่งตำแหน่งเพื่อระบุอุปกรณ์เป้าหมาย พอร์ต และคำสั่ง IEC-104

COSMICENERGY แสดงให้เห็นถึงการขาดความสามารถในการค้นพบ ซึ่งบ่งชี้ว่าผู้ดำเนินการมัลแวร์จะต้องดำเนินการลาดตระเวนภายในก่อนที่จะเริ่มการโจมตีที่ประสบความสำเร็จ ขั้นตอนการสำรวจนี้เกี่ยวข้องกับการรวบรวมข้อมูลสภาพแวดล้อมเฉพาะ รวมถึงที่อยู่ IP ของเซิร์ฟเวอร์ MSSQL, ข้อมูลรับรอง MSSQL และที่อยู่ IP ของอุปกรณ์ IEC-104 เป้าหมาย

ความคล้ายคลึงกันระหว่าง COSMICENERGY และภัยคุกคามจากมัลแวร์อื่นๆ

แม้ว่า COSMICENERGY จะแตกต่างจากตระกูลมัลแวร์ที่รู้จัก แต่ความสามารถของมันแสดงให้เห็นถึงความคล้ายคลึงกันอย่างเห็นได้ชัดกับที่พบในเหตุการณ์ก่อนหน้านี้ โดยเฉพาะอย่างยิ่ง นักวิจัยสังเกตเห็นความคล้ายคลึงกันอย่างมีนัยสำคัญระหว่างมัลแวร์ COSMICENERGY และ INDUSTROYER และ INDUSTROYER.V2 ซึ่งทั้งคู่เคยถูกใช้งานก่อนหน้านี้เพื่อรบกวนระบบส่งและจำหน่ายไฟฟ้า

นอกเหนือจากความคล้ายคลึงกันกับ INDUSTROYER แล้ว COSMICENERGY ยังแบ่งปันลักษณะทางเทคนิคกับมัลแวร์ตระกูลเทคโนโลยีการดำเนินงาน (OT) อื่นๆ ความคล้ายคลึงกันเหล่านี้รวมถึงการใช้ Python สำหรับการพัฒนาหรือบรรจุภัณฑ์ และการใช้ไลบรารีโอเพ่นซอร์สสำหรับการนำโปรโตคอล OT ไปใช้ ตระกูลมัลแวร์ OT ที่โดดเด่นซึ่งมีความคล้ายคลึงกันทางเทคนิค ได้แก่ IRONGATE, TRITON และ INCONTROLLER

โดยการตรวจสอบความคล้ายคลึงกันเหล่านี้ ผู้เชี่ยวชาญด้านความปลอดภัยสามารถเข้าใจอย่างลึกซึ้งยิ่งขึ้นเกี่ยวกับต้นกำเนิด เทคนิค และผลกระทบที่เกี่ยวข้องกับ COSMICENERGY