COSMICENERGY Malware retter sig mod industrier

En nylig opdaget stamme af skadelig software er blevet afsløret, specielt designet til at infiltrere og forstyrre kritiske systemer i industrielle miljøer. Benævnt COSMICENERGY af Mandiant, et trusselsefterretningsfirma ejet af Google, blev denne malware opdaget på VirusTotals offentlige malware-scanningsværktøj i december 2021, uploadet af en person i Rusland. I øjeblikket er der ingen beviser for dens udbredelse i naturen.

Det primære formål med COSMICENERGY er at forårsage forstyrrelser i elektrisk strøm ved at målrette mod IEC-104-enheder, såsom remote terminal units (RTU'er), der almindeligvis anvendes i elektrisk transmission og distribution i hele Europa, Mellemøsten og Asien. Denne malware slutter sig til en familie af specialiseret ondsindet software, inklusive Stuxnet, Havex, Triton, IRONGATE, BlackEnergy2, Industroyer og PIPEDREAM, alle i stand til at sabotere kritiske systemer og skabe udbredt kaos.

Mandiant antyder, at der er mulige forbindelser, der indikerer, at COSMICENERGY muligvis er blevet udviklet som et værktøj til red teaming af det russiske telekommunikationsfirma Rostelecom-Solar. Formålet ville være at simulere strømafbrydelser og evaluere nødberedskabsprocedurer under øvelser udført i oktober 2021. Dette rejser muligheden for, at malwaren enten blev skabt for at replikere realistiske angrebsscenarier mod energinetaktiver til forsvarstestning, eller at dens kode blev genbrugt af en anden part i forbindelse med cyber række aktiviteter.

COSMICENERGYs egenskaber og muligheder

Med hensyn til funktioner og muligheder udviser COSMICENERGY ligheder med Industroyer, som er blevet tilskrevet den Kreml-støttede Sandworm-gruppe. Malwaren udnytter en industriel kommunikationsprotokol kendt som IEC-104 til at udstede kommandoer til RTU'er. Gennem denne adgang får en angriber mulighed for at sende fjernkommandoer, der påvirker aktiveringen af strømafbrydere og strømafbrydere, hvilket fører til strømafbrydelser. COSMICENERGY anvender to komponenter, PIEHOP og LIGHTTWORK, skrevet i henholdsvis Python og C++, til at sende IEC-104-kommandoer til det tilsluttede industriudstyr.

Et bemærkelsesværdigt aspekt af dette industrielle kontrolsystem (ICS) malware er dets begrænsede indtrængen og opdagelsesmuligheder. Det betyder, at den er afhængig af, at operatøren udfører intern rekognoscering af netværket for at identificere IP-adresserne på IEC-104-enheder, der skal målrettes mod. For at udføre et angreb skal en trusselsaktør inficere en computer på netværket, finde en Microsoft SQL Server med adgang til RTU'erne og indhente de nødvendige legitimationsoplysninger. Efterfølgende udføres PIEHOP på den kompromitterede maskine for at uploade LIGHTTWORK til serveren. LIGHTTWORK starter derefter forstyrrende fjernkommandoer for at ændre enhedernes tilstand (enten ON eller OFF) over TCP. Den eksekverbare slettes straks efter instruktionerne er udstedt.