COSMICENERGY Шкідливе програмне забезпечення

Нещодавно виявлена шкідлива програма, відома як COSMICENERGY, привернула увагу дослідників кібербезпеки. Це зловмисне програмне забезпечення спеціально націлено на операційні технології (OT) і промислові системи управління (ICS), зосереджуючись на викликанні збоїв в інфраструктурі електроенергії. Це досягається шляхом використання вразливостей у пристроях IEC 60870-5-104 (IEC-104), зокрема у віддалених кінцевих блоках (RTU), які зазвичай використовуються в операціях з передачі та розподілу електроенергії в Європі, на Близькому Сході та в Азії.

Проаналізувавши COSMICENERGY, дослідники виявили, що його функції дуже схожі на ті, що спостерігалися в попередніх інцидентах із залученням шкідливих програм, таких як INDUSTROYER і INDUSTROYER.V2 . Ці попередні варіанти зловмисного програмного забезпечення були спеціально розроблені для порушення систем передачі та розподілу електроенергії шляхом використання протоколу IEC-104.

Поява COSMICENERGY підкреслює тривожну тенденцію: зменшення бар’єрів для входу для розвитку наступальних можливостей у сфері OT. Зловмисники використовують знання, отримані в результаті попередніх атак, для створення нового та складного шкідливого програмного забезпечення, що створює значні ризики для критичної інфраструктури.

Інтрузивні можливості зловмисного програмного забезпечення COSMICENERGY

Зловмисне програмне забезпечення COSMICENERGY подібне до інциденту INDUSTROYER 2016 року щодо своїх можливостей і стратегії атаки. У спосіб, що нагадує INDUSTROYER, COSMICENERGY використовує команди ON/OFF IEC-104 для взаємодії з віддаленими терміналами (RTU), потенційно використовуючи сервер MSSQL як систему каналів для доступу до інфраструктури операційних технологій (OT). Отримавши такий доступ, зловмисник може дистанційно маніпулювати вимикачами ліній електропередач і автоматичними вимикачами, що призводить до збоїв в електропостачанні. COSMICENERGY складається з двох основних компонентів: PIEHOP і LIGHTWORK.

PIEHOP, написаний на Python і запакований з PyInstaller, служить інструментом для зриву. Він здатний встановлювати з’єднання з наданими користувачем віддаленими серверами MSSQL, дозволяючи завантажувати файли та видавати віддалені команди RTU. PIEHOP покладається на LIGHTWORK для надсилання команд IEC-104, зокрема «ON» або «OFF», до цільової системи. Після введення команди виконуваний файл негайно видаляється. Однак отриманий зразок PIEHOP демонструє логічні помилки програмування, які заважають йому успішно виконувати свої можливості керування IEC-104. Тим не менш, дослідники вважають, що ці помилки можуть бути легко виправлені розробниками загрози.

З іншого боку, LIGHTWORK, написаний на C++, функціонує як інструмент зриву, який реалізує протокол IEC-104 для зміни стану RTU через TCP. Він створює настроювані повідомлення IEC-104 Application Service Data Unit (ASDU), щоб змінити стан адрес інформаційних об’єктів RTU (IOA) на «ON» або «OFF». LIGHTWORK використовує позиційні аргументи командного рядка для визначення цільового пристрою, порту та команди IEC-104.

COSMICENERGY демонструє помітну відсутність можливостей виявлення, що вказує на те, що оператору зловмисного програмного забезпечення потрібно буде провести внутрішню розвідку перед початком успішної атаки. Цей етап розвідки передбачає збір конкретної інформації про середовище, включаючи IP-адреси сервера MSSQL, облікові дані MSSQL та IP-адреси цільових пристроїв IEC-104.

Подібність між COSMICENERGY та іншими загрозами зловмисного програмного забезпечення

Незважаючи на те, що COSMICENERGY відрізняється від відомих сімейств шкідливих програм, його можливості демонструють помітну схожість із тими, що спостерігалися в попередніх інцидентах. Зокрема, дослідники відзначають значну схожість між COSMICENERGY та варіантами шкідливих програм INDUSTROYER і INDUSTROYER.V2, обидва з яких раніше використовувалися для порушення систем передачі та розподілу електроенергії.

Окрім схожості з INDUSTROYER, COSMICENERGY має спільні технічні характеристики з іншими сімействами шкідливих програм для операційних технологій (OT). Ці подібності включають використання Python для розробки або пакування та використання бібліотек з відкритим кодом для реалізації протоколів OT. Відомі сімейства зловмисних програм OT, які демонструють таку технічну схожість, включають IRONGATE, TRITON і INCONTROLLER.

Досліджуючи ці подібності, фахівці з безпеки можуть отримати глибше розуміння потенційного походження, методів і наслідків, пов’язаних з COSMICENERGY.