COSMICENERGY-Malware zielt auf Branchen ab

Kürzlich wurde ein Schadsoftwaretyp entdeckt, der speziell darauf ausgelegt ist, kritische Systeme in Industrieumgebungen zu infiltrieren und zu stören. Diese Malware wird von Mandiant, einem Threat-Intelligence-Unternehmen im Besitz von Google, als COSMICENERGY bezeichnet und im Dezember 2021 im öffentlichen Malware-Scan-Dienstprogramm VirusTotal entdeckt und von einer Person in Russland hochgeladen. Derzeit gibt es keine Hinweise auf seinen Einsatz in freier Wildbahn.

Das Hauptziel von COSMICENERGY besteht darin, Störungen in der Stromversorgung zu verursachen, indem es auf IEC-104-Geräte wie Remote Terminal Units (RTUs) abzielt, die häufig bei Stromübertragungs- und -verteilungsvorgängen in Europa, dem Nahen Osten und Asien eingesetzt werden. Diese Malware reiht sich in eine Familie spezialisierter Schadsoftware ein, darunter Stuxnet, Havex, Triton, IRONGATE, BlackEnergy2, Industroyer und PIPEDREAM, die alle in der Lage sind, kritische Systeme zu sabotieren und weit verbreitetes Chaos zu verursachen.

Mandiant weist darauf hin, dass es mögliche Verbindungen gibt, die darauf hindeuten, dass COSMICENERGY möglicherweise als Tool für Red Teaming vom russischen Telekommunikationsunternehmen Rostelecom-Solar entwickelt wurde. Der Zweck wäre die Simulation von Stromunterbrechungen und die Bewertung von Notfallreaktionsverfahren während Übungen im Oktober 2021. Dies erhöht die Möglichkeit, dass die Malware entweder erstellt wurde, um realistische Angriffsszenarien gegen Energienetzanlagen für Verteidigungstests zu reproduzieren, oder dass ihr Code von einem anderen Zweck umgenutzt wurde Partei, die mit Cyber-Range-Aktivitäten in Verbindung steht.

Merkmale und Fähigkeiten von COSMICENERGY

In Bezug auf Funktionen und Fähigkeiten weist COSMICENERGY Ähnlichkeiten mit Industroyer auf, das der vom Kreml unterstützten Sandworm-Gruppe zugeschrieben wird. Die Malware nutzt ein industrielles Kommunikationsprotokoll namens IEC-104 aus, um Befehle an RTUs zu erteilen. Durch diesen Zugriff erhält ein Angreifer die Möglichkeit, Fernbefehle zu senden, die sich auf die Betätigung von Stromleitungsschaltern und Leistungsschaltern auswirken und zu Stromunterbrechungen führen. COSMICENERGY verwendet zwei Komponenten, PIEHOP und LIGHTWORK, die in Python bzw. C++ geschrieben sind, um die IEC-104-Befehle an die angeschlossenen Industriegeräte zu übertragen.

Ein bemerkenswerter Aspekt dieser ICS-Schadsoftware (Industrial Control System) sind ihre begrenzten Einbruchs- und Erkennungsfähigkeiten. Dies bedeutet, dass der Betreiber eine interne Erkundung des Netzwerks durchführen muss, um die IP-Adressen der anzugreifenden IEC-104-Geräte zu ermitteln. Um einen Angriff durchzuführen, müsste ein Bedrohungsakteur einen Computer im Netzwerk infizieren, einen Microsoft SQL Server mit Zugriff auf die RTUs finden und die erforderlichen Anmeldeinformationen erhalten. Anschließend wird PIEHOP auf dem kompromittierten Rechner ausgeführt, um LIGHTWORK auf den Server hochzuladen. LIGHTWORK initiiert dann störende Fernbefehle, um den Zustand der Einheiten (entweder EIN oder AUS) über TCP zu ändern. Die ausführbare Datei wird nach Erteilung der Anweisungen umgehend gelöscht.