COSMICENERGY Malware

一种新发现的名为 COSMICENERGY 的恶意软件引起了网络安全研究人员的注意。该恶意软件专门针对运营技术 (OT) 和工业控制系统 (ICS)，重点是破坏电力基础设施。它通过利用 IEC 60870-5-104 (IEC-104) 设备中的漏洞来实现这一目标，特别是在欧洲、中东和亚洲的输配电业务中常用的远程终端单元 (RTU)。

在分析 COSMICENERGY 后，研究人员发现其功能与之前在涉及恶意软件的事件中观察到的功能非常相似，例如INDUSTROYER和INDUSTROYER.V2 。这些过去的恶意软件变体专门设计用于通过利用 IEC-104 协议来破坏输电和配电系统。

COSMICENERGY 的出现凸显了一个令人担忧的趋势：在 OT 领域开发进攻能力的进入壁垒正在降低。心怀不轨的行为者正在利用从以前的攻击中获得的知识来创建新的复杂恶意软件，对关键基础设施构成重大风险。

COSMICENERGY 恶意软件的入侵能力

COSMICENERGY 恶意软件在功能和攻击策略方面与 2016 年的 INDUSTROYER 事件有相似之处。以一种让人联想到 INDUSTROYER 的方式，COSMICENERGY 利用 IEC-104 开/关命令与远程终端单元 (RTU) 交互，可能使用 MSSQL 服务器作为管道系统来访问操作技术 (OT) 基础设施。通过获得此访问权限，攻击者可以远程操纵电力线开关和断路器，从而导致电力中断。 COSMICENERGY 由两个主要组件组成：PIEHOP 和 LIGHTWORK。

PIEHOP 用 Python 编写并与 PyInstaller 一起打包，用作中断工具。它能够与用户提供的远程 MSSQL 服务器建立连接，允许文件上传和向 RTU 发出远程命令。 PIEHOP 依靠 LIGHTWORK 向目标系统发送 IEC-104 命令，特别是“开”或“关”。发出命令后，可执行文件会立即被删除。然而，获得的 PIEHOP 样本显示出编程逻辑错误，使其无法成功执行其 IEC-104 控制功能。尽管如此，研究人员认为，威胁的开发者可以轻松纠正这些错误。

另一方面，用 C++ 编写的 LIGHTWORK 用作中断工具，它实现了 IEC-104 协议以通过 TCP 修改 RTU 的状态。它制作可定制的 IEC-104 应用服务数据单元 (ASDU) 消息，以将 RTU 信息对象地址 (IOA) 的状态更改为“ON”或“OFF”。 LIGHTWORK 利用位置命令行参数来指定目标设备、端口和 IEC-104 命令。

COSMICENERGY 表现出明显缺乏发现能力，这表明恶意软件操作员需要在发动成功攻击之前进行内部侦察。此侦察阶段涉及收集特定环境信息，包括 MSSQL 服务器 IP 地址、MSSQL 凭据和目标 IEC-104 设备的 IP 地址。

COSMICENERGY 与其他恶意软件威胁之间的相似之处

虽然 COSMICENERGY 不同于已知的恶意软件系列，但其功能与之前事件中观察到的功能有显着相似之处。特别是，研究人员注意到 COSMICENERGY 与 INDUSTROYER 和 INDUSTROYER.V2 恶意软件变体之间存在显着相似之处，这两种恶意软件变体之前都用于破坏电力传输和配电系统。

除了与 INDUSTROYER 的相似之处外，COSMICENERGY 还与其他操作技术 (OT) 恶意软件系列共享技术特征。这些相似之处包括使用 Python 进行开发或打包，以及使用开源库来实现 OT 协议。表现出这些技术相似性的著名 OT 恶意软件系列包括 IRONGATE、 TRITON和 INCONTROLLER。

通过检查这些相似性，安全专业人员可以更深入地了解与 COSMICENERGY 相关的潜在起源、技术和影响。