Phần mềm độc hại COSMICENERGY

Một phần mềm độc hại mới được xác định có tên là COSMICENERGY đã thu hút sự chú ý của các nhà nghiên cứu an ninh mạng. Phần mềm độc hại này nhắm mục tiêu cụ thể vào Công nghệ Vận hành (OT) và Hệ thống Điều khiển Công nghiệp (ICS), tập trung vào việc gây ra sự gián đoạn trong cơ sở hạ tầng năng lượng điện. Nó đạt được điều này bằng cách khai thác các lỗ hổng trong các thiết bị theo tiêu chuẩn IEC 60870-5-104 (IEC-104), đặc biệt là Thiết bị đầu cuối từ xa (RTU) thường được sử dụng trong các hoạt động truyền tải và phân phối điện trên khắp Châu Âu, Trung Đông và Châu Á.

Khi phân tích COSMICENERGY, các nhà nghiên cứu đã phát hiện ra rằng các chức năng của nó gần giống với các chức năng được quan sát thấy trong các sự cố trước đó liên quan đến phần mềm độc hại, chẳng hạn như INDUSTROYER và INDUSTROYER.V2 . Các biến thể phần mềm độc hại trong quá khứ này được thiết kế đặc biệt để phá vỡ các hệ thống truyền tải và phân phối điện bằng cách khai thác giao thức IEC-104.

Sự xuất hiện của COSMICENERGY làm nổi bật một xu hướng đáng lo ngại: các rào cản gia nhập ngày càng giảm để phát triển các khả năng tấn công trong lĩnh vực OT. Những kẻ có đầu óc xấu xa đang tận dụng kiến thức thu được từ các cuộc tấn công trước đó để tạo ra phần mềm độc hại mới và tinh vi, gây ra rủi ro đáng kể cho cơ sở hạ tầng quan trọng.

Khả năng xâm nhập của phần mềm độc hại COSMICENERGY

Phần mềm độc hại COSMICENERGY có những điểm tương đồng với sự cố INDUSTROYER năm 2016 về khả năng và chiến lược tấn công của nó. Theo cách gợi nhớ đến INDUSTROYER, COSMICENERGY sử dụng các lệnh BẬT/TẮT IEC-104 để tương tác với các thiết bị đầu cuối từ xa (RTU), có khả năng sử dụng máy chủ MSSQL làm hệ thống ống dẫn để truy cập cơ sở hạ tầng công nghệ vận hành (OT). Bằng cách giành được quyền truy cập này, kẻ tấn công có thể điều khiển từ xa các công tắc đường dây điện và bộ ngắt mạch, dẫn đến mất điện. COSMICENERGY bao gồm hai thành phần chính: PIEHOP và LIGHTWORK.

PIEHOP, được viết bằng Python và được đóng gói bằng PyInstaller, đóng vai trò là một công cụ gián đoạn. Nó có khả năng thiết lập kết nối với các máy chủ MSSQL từ xa do người dùng cung cấp, cho phép tải tệp lên và đưa ra các lệnh từ xa tới RTU. PIEHOP dựa vào LIGHTWORK để gửi các lệnh IEC-104, cụ thể là 'BẬT' hoặc 'TẮT' tới hệ thống được nhắm mục tiêu. Sau khi ban hành lệnh, tệp thực thi sẽ bị xóa ngay lập tức. Tuy nhiên, mẫu PIEHOP thu được có các lỗi logic lập trình khiến nó không thể thực hiện thành công các khả năng điều khiển theo tiêu chuẩn IEC-104. Tuy nhiên, các nhà nghiên cứu tin rằng những lỗi này có thể được sửa chữa dễ dàng bởi những kẻ phát triển mối đe dọa.

Mặt khác, LIGHTWORK, được viết bằng C++, hoạt động như một công cụ đột phá thực hiện giao thức IEC-104 để sửa đổi trạng thái của RTU qua TCP. Nó thủ công các thông báo Đơn vị dữ liệu dịch vụ ứng dụng (ASDU) IEC-104 có thể tùy chỉnh để thay đổi trạng thái của Địa chỉ đối tượng thông tin RTU (IOA) thành 'BẬT' hoặc 'TẮT'. LIGHTWORK sử dụng các đối số dòng lệnh vị trí để chỉ định thiết bị đích, cổng và lệnh IEC-104.

COSMICENERGY thể hiện sự vắng mặt đáng chú ý của khả năng khám phá, cho thấy rằng kẻ điều hành phần mềm độc hại sẽ cần tiến hành trinh sát nội bộ trước khi khởi động một cuộc tấn công thành công. Giai đoạn thăm dò này liên quan đến việc thu thập thông tin môi trường cụ thể, bao gồm địa chỉ IP của máy chủ MSSQL, thông tin đăng nhập MSSQL và địa chỉ IP của thiết bị IEC-104 được nhắm mục tiêu.

Điểm tương đồng giữa COSMICENERGY và các mối đe dọa phần mềm độc hại khác

Mặc dù COSMICENERGY khác biệt với các họ phần mềm độc hại đã biết, nhưng các khả năng của nó thể hiện những điểm tương đồng đáng chú ý với những khả năng được quan sát thấy trong các sự cố trước đó. Đặc biệt, các nhà nghiên cứu lưu ý đến sự tương đồng đáng kể giữa COSMICENERGY với các biến thể phần mềm độc hại INDUSTROYER và INDUSTROYER.V2, cả hai đều trước đây đã được triển khai để phá vỡ các hệ thống truyền tải và phân phối điện.

Ngoài những điểm tương đồng với INDUSTROYER, COSMICENERGY chia sẻ các đặc điểm kỹ thuật với các họ phần mềm độc hại công nghệ vận hành (OT) khác. Những điểm tương đồng này bao gồm việc sử dụng Python để phát triển hoặc đóng gói và sử dụng các thư viện nguồn mở để triển khai các giao thức OT. Các họ phần mềm độc hại OT đáng chú ý thể hiện những điểm tương đồng về kỹ thuật này bao gồm IRONGATE, TRITON và INCONTROLLER.

Bằng cách kiểm tra những điểm tương đồng này, các chuyên gia bảo mật có thể hiểu sâu hơn về nguồn gốc, kỹ thuật và ý nghĩa tiềm ẩn liên quan đến COSMICENERGY.