COSMICENERGY Kötü Amaçlı Yazılım

COSMICENERGY olarak bilinen yeni tanımlanan bir kötü amaçlı yazılım, siber güvenlik araştırmacılarının dikkatini çekti. Bu kötü amaçlı yazılım, özellikle Operasyonel Teknolojiyi (OT) ve Endüstriyel Kontrol Sistemlerini (ICS) hedef alarak elektrik altyapısında kesintilere neden olmaya odaklanır. Bunu, IEC 60870-5-104 (IEC-104) cihazlarındaki, özellikle Avrupa, Orta Doğu ve Asya'daki elektrik iletim ve dağıtım operasyonlarında yaygın olarak kullanılan Uzak Terminal Birimlerindeki (RTU'lar) güvenlik açıklarından yararlanarak başarır.

Araştırmacılar COSMICENERGY'yi analiz ettikten sonra, işlevlerinin INDUSTROYER ve INDUSTROYER.V2 gibi kötü amaçlı yazılım içeren önceki olaylarda gözlemlenenlere çok benzediğini keşfettiler. Geçmişteki bu kötü amaçlı yazılım varyantları, IEC-104 protokolünü kullanarak elektrik iletim ve dağıtım sistemlerini bozmak için özel olarak tasarlanmıştır.

COSMICENERGY'nin ortaya çıkışı endişe verici bir eğilimi vurgulamaktadır: OT aleminde saldırı yetenekleri geliştirmek için giriş engellerinin azalması. Kötü niyetli aktörler, kritik altyapı için önemli riskler oluşturan yeni ve gelişmiş kötü amaçlı yazılım oluşturmak için önceki saldırılardan elde edilen bilgilerden yararlanıyor.

COSMICENERGY Kötü Amaçlı Yazılımının Müdahaleci Yetenekleri

COSMICENERGY Kötü Amaçlı Yazılımı, yetenekleri ve saldırı stratejisi açısından 2016 INDUSTROYER olayıyla benzerlikler paylaşıyor. COSMICENERGY, INDUSTROYER'ı anımsatan bir tarzda, uzak terminal birimleriyle (RTU'lar) etkileşim kurmak için IEC-104 ON/OFF komutlarını kullanır ve operasyonel teknoloji (OT) altyapısına erişmek için potansiyel olarak bir kanal sistemi olarak bir MSSQL sunucusu kullanır. Bu erişimi elde eden bir saldırgan, güç hattı anahtarlarını ve devre kesicileri uzaktan manipüle ederek güç kesintilerine yol açabilir. COSMICENERGY iki temel bileşenden oluşur: PIHEOP ve LIGHTWORK.

Python'da yazılmış ve PyInstaller ile paketlenmiş PIAHOP, bir kesinti aracı olarak hizmet eder. Kullanıcı tarafından sağlanan uzak MSSQL sunucularıyla bağlantı kurarak dosya yüklemelerine izin verir ve RTU'lara uzak komutlar verir. PIAHOP, IEC-104 komutlarını, özellikle 'AÇIK' veya 'KAPALI'yı hedeflenen sisteme göndermek için LIGHTWORK'e güvenir. Komutu verdikten sonra yürütülebilir dosya derhal silinir. Ancak elde edilen PIAHOP örneği, IEC-104 kontrol yeteneklerini başarılı bir şekilde yürütmesini engelleyen programlama mantığı hataları sergiliyor. Yine de araştırmacılar, bu hataların tehdidin geliştiricileri tarafından kolayca düzeltilebileceğine inanıyor.

Öte yandan, C++ ile yazılmış LIGHTWORK, TCP üzerinden RTU'ların durumunu değiştirmek için IEC-104 protokolünü uygulayan bir bozma aracı olarak işlev görür. RTU Bilgi Nesnesi Adreslerinin (IOA'lar) durumunu 'AÇIK' veya 'KAPALI' olarak değiştirmek için özelleştirilebilir IEC-104 Uygulama Hizmeti Veri Birimi (ASDU) mesajları oluşturur. LIGHTWORK, hedef cihazı, bağlantı noktasını ve IEC-104 komutunu belirtmek için konumsal komut satırı bağımsız değişkenlerini kullanır.

COSMICENERGY, kötü amaçlı yazılım operatörünün başarılı bir saldırı başlatmadan önce dahili bir keşif yapması gerekeceğini gösteren, kayda değer bir keşif yeteneği eksikliği sergiliyor. Bu keşif aşaması, MSSQL sunucusu IP adresleri, MSSQL kimlik bilgileri ve hedeflenen IEC-104 cihazlarının IP adresleri dahil olmak üzere belirli ortam bilgilerinin toplanmasını içerir.

COSMICENERGY ve Diğer Kötü Amaçlı Yazılım Tehditleri arasındaki benzerlikler

COSMICENERGY, bilinen kötü amaçlı yazılım ailelerinden farklı olsa da, yetenekleri önceki olaylarda gözlemlenenlerle dikkate değer benzerlikler göstermektedir. Araştırmacılar özellikle COSMICENERGY ile INDUSTROYER ve INDUSTROYER.V2 kötü amaçlı yazılım varyantları arasında önemli benzerlikler olduğunu belirtiyorlar; bunların her ikisi de daha önce elektrik iletim ve dağıtım sistemlerini bozmak için konuşlandırılmıştı.

COSMICENERGY, INDUSTROYER ile olan benzerliklerine ek olarak, diğer operasyonel teknoloji (OT) kötü amaçlı yazılım aileleriyle teknik özellikler paylaşır. Bu benzerlikler, geliştirme veya paketleme için Python kullanımını ve OT protokollerini uygulamak için açık kaynak kitaplıkların kullanımını içerir. Bu teknik benzerlikleri sergileyen önemli OT kötü amaçlı yazılım aileleri arasında IRONGATE, TRITON ve INCONTROLLER bulunur.

Bu benzerlikleri inceleyerek, güvenlik uzmanları COSMICENERGY ile ilişkili potansiyel kökenler, teknikler ve sonuçlar hakkında daha derin bir anlayış kazanabilirler.