COSMICENERGY Malware

Isang bagong natukoy na malware na kilala bilang COSMICENERGY ang nakakuha ng atensyon ng mga mananaliksik sa cybersecurity. Partikular na tina-target ng malware na ito ang Operational Technology (OT) at Industrial Control Systems (ICS), na nakatuon sa pagdudulot ng mga pagkagambala sa imprastraktura ng kuryente. Nakakamit ito sa pamamagitan ng pagsasamantala sa mga kahinaan sa IEC 60870-5-104 (IEC-104) na mga device, partikular na ang Remote Terminal Units (RTUs) na karaniwang ginagamit sa electric transmission at distribution operations sa buong Europe, Middle East at Asia.

Sa pagsusuri sa COSMICENERGY, natuklasan ng mga mananaliksik na ang mga functionality nito ay halos kapareho ng mga naobserbahan sa mga nakaraang insidente na kinasasangkutan ng malware, gaya ng INDUSTROYER at INDUSTROYER.V2 . Ang mga nakaraang variant ng malware na ito ay partikular na idinisenyo upang guluhin ang paghahatid ng kuryente at mga sistema ng pamamahagi sa pamamagitan ng pagsasamantala sa IEC-104 protocol.

Ang paglitaw ng COSMICENERGY ay nagha-highlight ng isang nauukol na kalakaran: ang bumababa na mga hadlang sa pagpasok para sa pagbuo ng mga nakakasakit na kakayahan sa larangan ng OT. Ang mga masasamang pag-iisip ay gumagamit ng kaalaman na nakuha mula sa mga nakaraang pag-atake upang lumikha ng bago at sopistikadong malware, na nagdudulot ng malaking panganib sa kritikal na imprastraktura.

Ang Mga Mapanghimasok na Kakayahan ng COSMICENERGY Malware

Ang COSMICENERGY Malware ay may pagkakatulad sa insidente noong 2016 INDUSTROYER sa mga tuntunin ng mga kakayahan nito at diskarte sa pag-atake. Sa paraang nakapagpapaalaala sa INDUSTROYER, ang COSMICENERGY ay gumagamit ng IEC-104 ON/OFF na mga utos para makipag-ugnayan sa mga remote terminal units (RTUs), na posibleng gumamit ng MSSQL server bilang isang conduit system para ma-access ang operational technology (OT) infrastructure. Sa pamamagitan ng pagkakaroon ng access na ito, maaaring malayuang manipulahin ng isang attacker ang mga switch ng linya ng kuryente at mga circuit breaker, na humahantong sa pagkaputol ng kuryente. Ang COSMICENERGY ay binubuo ng dalawang pangunahing bahagi: PIEHOP at LIGHTWORK.

Ang PIEHOP, na nakasulat sa Python at nakabalot sa PyInstaller, ay nagsisilbing isang tool sa pagkagambala. Ito ay may kakayahang magtatag ng mga koneksyon sa mga remote na MSSQL server na ibinigay ng gumagamit, na nagbibigay-daan para sa mga pag-upload ng file at pag-isyu ng mga malalayong utos sa mga RTU. Ang PIEHOP ay umaasa sa LIGHTWORK upang magpadala ng mga IEC-104 command, partikular na 'ON' o 'OFF,' sa targeted system. Pagkatapos mag-isyu ng utos, ang executable ay agad na tinanggal. Gayunpaman, ang nakuhang sample ng PIEHOP ay nagpapakita ng mga error sa logic ng programming na pumipigil dito sa matagumpay na pagpapatupad ng mga kakayahan sa pagkontrol ng IEC-104. Gayunpaman, naniniwala ang mga mananaliksik na ang mga pagkakamaling ito ay madaling maitama ng mga nag-develop ng banta.

Sa kabilang banda, ang LIGHTWORK, na nakasulat sa C++, ay gumaganap bilang isang tool sa pagkagambala na nagpapatupad ng IEC-104 protocol upang baguhin ang estado ng mga RTU sa TCP. Gumagawa ito ng napapasadyang IEC-104 Application Service Data Unit (ASDU) na mga mensahe upang baguhin ang estado ng RTU Information Object Addresses (IOAs) sa alinman sa 'ON' o 'OFF.' Gumagamit ang LIGHTWORK ng mga argumento ng positional command line upang tukuyin ang target na device, port, at IEC-104 command.

Ang COSMICENERGY ay nagpapakita ng kapansin-pansing kawalan ng mga kakayahan sa pagtuklas, na nagpapahiwatig na ang operator ng malware ay kailangang magsagawa ng panloob na pagmamanman bago maglunsad ng matagumpay na pag-atake. Ang bahaging ito ng reconnaissance ay nagsasangkot ng pangangalap ng partikular na impormasyon sa kapaligiran, kabilang ang mga IP address ng MSSQL server, mga kredensyal ng MSSQL at ang mga IP address ng mga naka-target na IEC-104 na device.

Pagkakatulad sa pagitan ng COSMICENERGY at Iba Pang Mga Banta sa Malware

Bagama't naiiba ang COSMICENERGY sa mga kilalang pamilya ng malware, ang mga kakayahan nito ay nagpapakita ng mga kapansin-pansing pagkakatulad sa mga naobserbahan sa mga nakaraang insidente. Sa partikular, napapansin ng mga mananaliksik ang mga makabuluhang pagkakahawig sa pagitan ng COSMICENERGY at ng INDUSTROYER at INDUSTROYER.V2 na mga variant ng malware, na parehong dating na-deploy upang maantala ang transmission at distribution system ng kuryente.

Bilang karagdagan sa mga pagkakatulad sa INDUSTROYER, ang COSMICENERGY ay nagbabahagi ng mga teknikal na katangian sa ibang mga pamilya ng operational technology (OT) malware. Kasama sa mga pagkakatulad na ito ang paggamit ng Python para sa pagbuo o packaging at ang paggamit ng mga open-source na library para sa pagpapatupad ng mga OT protocol. Ang mga kilalang OT malware na pamilya na nagpapakita ng mga teknikal na pagkakahawig na ito ay kinabibilangan ng IRONGATE, TRITON at INCONTROLLER.

Sa pamamagitan ng pagsusuri sa mga pagkakatulad na ito, ang mga propesyonal sa seguridad ay maaaring magkaroon ng mas malalim na pag-unawa sa mga potensyal na pinagmulan, diskarte, at implikasyon na nauugnay sa COSMICENERGY.