COSMICENERGY マルウェアが業界を狙う

最近発見された悪意のあるソフトウェアの亜種が明らかになりました。これは、特に産業環境内の重要なシステムに侵入して破壊するように設計されています。 Google 所有の脅威インテリジェンス会社 Mandiant によって COSMICENERGY と呼ばれるこのマルウェアは、2021 年 12 月に公共マルウェア スキャン ユーティリティ VirusTotal で検出され、ロシアの個人によってアップロードされました。現時点では、実際に展開されたという証拠はありません。

COSMICENERGY の主な目的は、ヨーロッパ、中東、アジアの送電および配電業務で一般的に使用されているリモート端末装置 (RTU) などの IEC-104 デバイスをターゲットにして、電力に障害を引き起こすことです。このマルウェアは、Stuxnet、Havex、Triton、IRONGATE、BlackEnergy2、Industroyer、PIPEDREAM などの特殊な悪意のあるソフトウェア ファミリに加わり、すべて重要なシステムを妨害し、広範な混乱を引き起こす可能性があります。

マンディアント氏は、COSMICENERGYがロシアの電気通信会社ロステレコム・ソーラー社によるレッドチームのツールとして開発された可能性を示す関連性の可能性があると示唆している。目的は、2021年10月に実施される演習中に停電をシミュレートし、緊急対応手順を評価することである。これにより、マルウェアが防御テストのためにエネルギーグリッド資産に対する現実的な攻撃シナリオを再現するために作成されたか、そのコードが別のプログラムによって再利用されたかの可能性が高まる。サイバー範囲活動に関連する当事者。

COSMICENERGYの特徴と能力

特徴と機能の点で、COSMICENERGY は、クレムリン支援の Sandworm グループが関与していると考えられている Industroyer と類似点を示しています。このマルウェアは、IEC-104 として知られる産業用通信プロトコルを悪用して RTU にコマンドを発行します。このアクセスを通じて、攻撃者は、電力線スイッチや回路ブレーカーの作動に影響を与え、停電を引き起こすリモート コマンドを送信できるようになります。 COSMICENERGY は、それぞれ Python と C++ で書かれた 2 つのコンポーネント、PIEHOP と LIGHTWORK を使用して、接続された産業機器に IEC-104 コマンドを送信します。

この産業用制御システム (ICS) マルウェアの注目すべき点の 1 つは、侵入能力と検出能力が限られていることです。これは、対象となる IEC-104 デバイスの IP アドレスを特定するためにネットワークの内部偵察を実行するのはオペレーターに依存していることを意味します。攻撃を実行するには、脅威アクターがネットワーク内のコンピューターに感染し、RTU にアクセスできる Microsoft SQL Server を見つけて、必要な資格情報を取得する必要があります。その後、侵害されたマシン上で PIEHOP が実行され、LIGHTWORK がサーバーにアップロードされます。次に、LIGHTWORK は、TCP 経由でユニットの状態 (オンまたはオフ) を変更する破壊的なリモート コマンドを開始します。実行可能ファイルは、指示が発行された後、直ちに削除されます。