COSMICENERGY Κακόβουλο λογισμικό στοχεύει βιομηχανίες

Αποκαλύφθηκε ένα είδος κακόβουλου λογισμικού που ανακαλύφθηκε πρόσφατα, ειδικά σχεδιασμένο για να διεισδύει και να διαταράσσει κρίσιμα συστήματα σε βιομηχανικά περιβάλλοντα. Αναφέρεται ως COSMICENERGY από τη Mandiant, μια εταιρεία πληροφοριών απειλών που ανήκει στην Google, αυτό το κακόβουλο λογισμικό εντοπίστηκε στο δημόσιο βοηθητικό πρόγραμμα σάρωσης κακόβουλου λογισμικού VirusTotal τον Δεκέμβριο του 2021, το οποίο ανέβηκε από ένα άτομο στη Ρωσία. Επί του παρόντος, δεν υπάρχουν στοιχεία για την ανάπτυξή του στη φύση.

Ο πρωταρχικός στόχος του COSMICENERGY είναι να προκαλέσει διαταραχές στην ηλεκτρική ενέργεια στοχεύοντας συσκευές IEC-104, όπως απομακρυσμένες τερματικές μονάδες (RTUs), που χρησιμοποιούνται συνήθως σε εργασίες μεταφοράς και διανομής ηλεκτρικής ενέργειας σε όλη την Ευρώπη, τη Μέση Ανατολή και την Ασία. Αυτό το κακόβουλο λογισμικό εντάσσεται σε μια οικογένεια εξειδικευμένου κακόβουλου λογισμικού, συμπεριλαμβανομένων των Stuxnet, Havex, Triton, IRONGATE, BlackEnergy2, Industroyer και PIPEDREAM, όλα ικανά να υπονομεύουν κρίσιμα συστήματα και να δημιουργούν εκτεταμένο χάος.

Ο Mandiant προτείνει ότι υπάρχουν πιθανές συνδέσεις που υποδεικνύουν ότι το COSMICENERGY μπορεί να είχε αναπτυχθεί ως εργαλείο για κόκκινη ομαδοποίηση από τη ρωσική εταιρεία τηλεπικοινωνιών Rostelecom-Solar. Ο σκοπός θα ήταν η προσομοίωση διακοπής ρεύματος και η αξιολόγηση των διαδικασιών απόκρισης έκτακτης ανάγκης κατά τη διάρκεια ασκήσεων που πραγματοποιήθηκαν τον Οκτώβριο του 2021. Αυτό αυξάνει την πιθανότητα το κακόβουλο λογισμικό είτε να δημιουργήθηκε για να αναπαράγει ρεαλιστικά σενάρια επίθεσης σε στοιχεία ενεργειακού δικτύου για δοκιμές άμυνας ή ότι ο κώδικάς του επαναχρησιμοποιήθηκε από άλλον πάρτι που σχετίζεται με δραστηριότητες εμβέλειας στον κυβερνοχώρο.

Χαρακτηριστικά και δυνατότητες της COSMICENERGY

Όσον αφορά τα χαρακτηριστικά και τις δυνατότητες, η COSMICENERGY παρουσιάζει ομοιότητες με την Industroyer, η οποία έχει αποδοθεί στον όμιλο Sandworm που υποστηρίζεται από το Κρεμλίνο. Το κακόβουλο λογισμικό εκμεταλλεύεται ένα βιομηχανικό πρωτόκολλο επικοινωνίας γνωστό ως IEC-104 για την έκδοση εντολών σε RTU. Μέσω αυτής της πρόσβασης, ένας εισβολέας αποκτά τη δυνατότητα να στέλνει απομακρυσμένες εντολές που επηρεάζουν την ενεργοποίηση των διακοπτών γραμμών ρεύματος και των διακοπτών κυκλώματος, οδηγώντας σε διακοπές ρεύματος. Η COSMICENERGY χρησιμοποιεί δύο στοιχεία, το PIEHOP και το LIGHTWORK, γραμμένα σε Python και C++, αντίστοιχα, για τη μετάδοση των εντολών IEC-104 στον συνδεδεμένο βιομηχανικό εξοπλισμό.

Μια αξιοσημείωτη πτυχή αυτού του κακόβουλου λογισμικού συστήματος βιομηχανικού ελέγχου (ICS) είναι οι περιορισμένες δυνατότητες εισβολής και ανακάλυψης. Αυτό σημαίνει ότι βασίζεται στον χειριστή για τη διεξαγωγή εσωτερικής αναγνώρισης του δικτύου για την αναγνώριση των διευθύνσεων IP των συσκευών IEC-104 προς στόχευση. Για να πραγματοποιήσει μια επίθεση, ένας παράγοντας απειλής θα πρέπει να μολύνει έναν υπολογιστή εντός του δικτύου, να εντοπίσει έναν Microsoft SQL Server με πρόσβαση στα RTU και να αποκτήσει τα απαραίτητα διαπιστευτήρια. Στη συνέχεια, το PIEHOP εκτελείται στον παραβιασμένο μηχάνημα για να φορτώσει το LIGHTWORK στον διακομιστή. Το LIGHTWORK στη συνέχεια εκκινεί απομακρυσμένες εντολές για να αλλάξει την κατάσταση των μονάδων (είτε ON είτε OFF) μέσω TCP. Το εκτελέσιμο διαγράφεται αμέσως μετά την έκδοση των οδηγιών.