COSMICENERGY Malware

一種新發現的名為 COSMICENERGY 的惡意軟件引起了網絡安全研究人員的注意。該惡意軟件專門針對運營技術 (OT) 和工業控制系統 (ICS)，重點是破壞電力基礎設施。它通過利用 IEC 60870-5-104 (IEC-104) 設備中的漏洞來實現這一目標，特別是在歐洲、中東和亞洲的輸配電業務中常用的遠程終端單元 (RTU)。

在分析 COSMICENERGY 後，研究人員發現其功能與之前在涉及惡意軟件的事件中觀察到的功能非常相似，例如INDUSTROYER和INDUSTROYER.V2 。這些過去的惡意軟件變體專門設計用於通過利用 IEC-104 協議來破壞輸電和配電系統。

COSMICENERGY 的出現凸顯了一個令人擔憂的趨勢：在 OT 領域開發進攻能力的進入壁壘正在降低。心懷不軌的行為者正在利用從以前的攻擊中獲得的知識來創建新的複雜惡意軟件，對關鍵基礎設施構成重大風險。

COSMICENERGY 惡意軟件的入侵能力

COSMICENERGY 惡意軟件在功能和攻擊策略方面與 2016 年的 INDUSTROYER 事件有相似之處。以一種讓人聯想到 INDUSTROYER 的方式，COSMICENERGY 利用 IEC-104 開/關命令與遠程終端單元 (RTU) 交互，可能使用 MSSQL 服務器作為管道系統來訪問操作技術 (OT) 基礎設施。通過獲得此訪問權限，攻擊者可以遠程操縱電力線開關和斷路器，從而導致電力中斷。 COSMICENERGY 由兩個主要組件組成：PIEHOP 和 LIGHTWORK。

PIEHOP 用 Python 編寫並與 PyInstaller 一起打包，用作中斷工具。它能夠與用戶提供的遠程 MSSQL 服務器建立連接，允許文件上傳和向 RTU 發出遠程命令。 PIEHOP 依靠 LIGHTWORK 向目標系統發送 IEC-104 命令，特別是“開”或“關”。發出命令後，可執行文件會立即被刪除。然而，獲得的 PIEHOP 樣本顯示出編程邏輯錯誤，使其無法成功執行其 IEC-104 控制功能。儘管如此，研究人員認為威脅的開發者可以輕鬆糾正這些錯誤。

另一方面，用 C++ 編寫的 LIGHTWORK 用作中斷工具，它實現了 IEC-104 協議以通過 TCP 修改 RTU 的狀態。它製作可定制的 IEC-104 應用服務數據單元 (ASDU) 消息，以將 RTU 信息對像地址 (IOA) 的狀態更改為“ON”或“OFF”。 LIGHTWORK 利用位置命令行參數來指定目標設備、端口和 IEC-104 命令。

COSMICENERGY 表現出明顯缺乏發現能力，這表明惡意軟件操作員需要在發動成功攻擊之前進行內部偵察。此偵察階段涉及收集特定環境信息，包括 MSSQL 服務器 IP 地址、MSSQL 憑據和目標 IEC-104 設備的 IP 地址。

COSMICENERGY 與其他惡意軟件威脅之間的相似之處

雖然 COSMICENERGY 不同於已知的惡意軟件系列，但其功能與之前事件中觀察到的功能有顯著相似之處。特別是，研究人員注意到 COSMICENERGY 與 INDUSTROYER 和 INDUSTROYER.V2 惡意軟件變體之間存在顯著相似之處，這兩種惡意軟件變體之前都用於破壞電力傳輸和配電系統。

除了與 INDUSTROYER 的相似之處外，COSMICENERGY 還與其他操作技術 (OT) 惡意軟件系列共享技術特徵。這些相似之處包括使用 Python 進行開發或打包，以及使用開源庫來實現 OT 協議。表現出這些技術相似性的著名 OT 惡意軟件系列包括 IRONGATE、 TRITON和 INCONTROLLER。

通過檢查這些相似性，安全專業人員可以更深入地了解與 COSMICENERGY 相關的潛在起源、技術和影響。