COSMICENERGY rosszindulatú programok az iparágakat célozzák

Felfedezték a rosszindulatú szoftverek egy nemrégiben felfedezett törzsét, amelyet kifejezetten az ipari környezet kritikus rendszereinek beszivárgására és megzavarására terveztek. A Mandiant, a Google tulajdonában lévő fenyegetés-felderítő cég COSMICENERGY néven emlegette ezt a rosszindulatú programot a VirusTotal nyilvános rosszindulatú programkereső segédprogramban 2021 decemberében, amelyet egy oroszországi magánszemély töltött fel. Jelenleg nincs bizonyíték a vadonban való alkalmazására.

A COSMICENERGY elsődleges célja, hogy zavarokat okozzon az elektromos áramban az IEC-104 eszközök, például a távoli terminálegységek (RTU-k) megcélzásával, amelyeket általánosan használnak az elektromos átviteli és elosztási műveletekben Európában, a Közel-Keleten és Ázsiában. Ez a rosszindulatú program a speciális rosszindulatú szoftverek családjához csatlakozik, köztük a Stuxnet, Havex, Triton, IRONGATE, BlackEnergy2, Industroyer és PIPEDREAM, amelyek képesek a kritikus rendszereket szabotálni és széles körben elterjedt káoszt teremteni.

A Mandiant azt sugallja, hogy vannak olyan lehetséges kapcsolatok, amelyek arra utalnak, hogy a COSMICENERGY-t a Rostelecom-Solar orosz távközlési cég a red teaming eszközeként fejlesztette ki. A cél az áramkimaradások szimulálása és a vészhelyzeti reagálási eljárások értékelése lenne a 2021 októberében lezajlott gyakorlatok során. Ez felveti annak a lehetőségét, hogy a rosszindulatú szoftvert vagy azért hozták létre, hogy valósághű támadási forgatókönyveket reprodukáljanak az energiahálózat eszközei ellen védelmi tesztelés céljából, vagy hogy a kódját egy másik felhasználta. a kiberhatótávú tevékenységekkel kapcsolatos fél.

A COSMICENERGY jellemzői és képességei

Funkcióit és képességeit tekintve a COSMICENERGY hasonlóságot mutat az Industroyerrel, amelyet a Kreml által támogatott Sandworm csoportnak tulajdonítottak. A rosszindulatú program az IEC-104 néven ismert ipari kommunikációs protokollt használja ki, hogy parancsokat adjon ki az RTU-knak. Ezzel a hozzáféréssel a támadó képes olyan távoli parancsokat küldeni, amelyek hatással vannak az elektromos vezetékek kapcsolóinak és megszakítóinak működtetésére, ami áramkimaradáshoz vezet. A COSMICENERGY két Python, illetve C++ nyelven írt komponenst, a PIEHOP-ot és a LIGHTTWORK-ot alkalmazza az IEC-104 parancsok továbbítására a csatlakoztatott ipari berendezésekre.

Az ipari vezérlőrendszer (ICS) rosszindulatú programjának egyik figyelemre méltó jellemzője a korlátozott behatolási és felfedezési képessége. Ez azt jelenti, hogy az üzemeltetőre támaszkodik a hálózat belső felderítésében, hogy azonosítsa a megcélozni kívánt IEC-104 eszközök IP-címét. A támadás végrehajtásához a fenyegetés szereplőjének meg kell fertőznie egy számítógépet a hálózaton belül, meg kell találnia egy Microsoft SQL Servert, amely hozzáféréssel rendelkezik az RTU-khoz, és meg kell szereznie a szükséges hitelesítő adatokat. Ezt követően a PIEHOP végrehajtásra kerül a feltört gépen a LIGHTTWORK szerverre való feltöltéséhez. A LIGHTTWORK ezután zavaró távoli parancsokat indít az egységek állapotának megváltoztatására (be- vagy kikapcsolva) TCP-n keresztül. Az utasítások kiadása után a végrehajtható fájl azonnal törlődik.