COSMICENERGY kenkėjiška programa, skirta pramonės šakoms

Neseniai aptikta kenkėjiškos programinės įrangos atmaina, specialiai sukurta prasiskverbti ir sutrikdyti svarbias pramoninės aplinkos sistemas. „Google“ priklausančios grėsmių žvalgybos įmonės „Mandiant“ vadinama COSMICENERGY. Ši kenkėjiška programa buvo aptikta viešoje kenkėjiškų programų nuskaitymo programoje „VirusTotal“ 2021 m. gruodžio mėn., kurią įkėlė asmuo iš Rusijos. Šiuo metu nėra jokių įrodymų, kad jis būtų naudojamas laukinėje gamtoje.

Pagrindinis COSMICENERGY tikslas yra sukelti elektros energijos sutrikimus, nukreipiant į IEC-104 įrenginius, tokius kaip nuotoliniai terminalų blokai (RTU), dažniausiai naudojami elektros perdavimo ir paskirstymo operacijoms visoje Europoje, Artimuosiuose Rytuose ir Azijoje. Ši kenkėjiška programa prisijungia prie specializuotos kenkėjiškos programinės įrangos šeimos, įskaitant Stuxnet, Havex, Triton, IRONGATE, BlackEnergy2, Industroyer ir PIPEDREAM, kurios visos gali sabotuoti svarbias sistemas ir sukurti platų chaosą.

Mandiant teigia, kad yra galimų jungčių, rodančių, kad COSMICENERGY galėjo sukurti Rusijos telekomunikacijų įmonės „Rostelecom-Solar“ kaip raudonojo susivienijimo įrankį. Tikslas būtų imituoti energijos tiekimo sutrikimus ir įvertinti reagavimo į ekstremalias situacijas procedūras per 2021 m. spalio mėn. vykusias pratybas. Tai padidina galimybę, kad kenkėjiška programa buvo sukurta siekiant pakartoti realius atakų prieš energijos tinklo išteklius scenarijus gynybos bandymams, arba kad jos kodas buvo pakeistas kitu. su kibernetinio nuotolio veikla susijusi šalis.

COSMICENERGY savybės ir galimybės

Savo ypatybėmis ir galimybėmis COSMICENERGY turi panašumų su „Industroyer“, kuris buvo priskirtas Kremliaus remiamai „Sandworm“ grupei. Kenkėjiška programa naudoja pramoninio ryšio protokolą, žinomą kaip IEC-104, kad pateiktų komandas RTU. Pasinaudojęs šia prieiga, užpuolikas įgyja galimybę siųsti nuotolines komandas, kurios turi įtakos elektros linijų jungiklių ir grandinės pertraukiklių įjungimui, dėl ko nutrūksta maitinimas. COSMICENERGY naudoja du komponentus, PIEHOP ir LIGHTTWORK, parašytus atitinkamai Python ir C++ kalbomis, kad perduotų IEC-104 komandas į prijungtą pramoninę įrangą.

Vienas pastebimų šios pramoninės valdymo sistemos (ICS) kenkėjiškų programų aspektų yra ribotos įsilaužimo ir aptikimo galimybės. Tai reiškia, kad operatorius turi atlikti vidinę tinklo žvalgybą, kad nustatytų IEC-104 įrenginių IP adresus. Kad galėtų įvykdyti ataką, grėsmės veikėjas turės užkrėsti kompiuterį tinkle, rasti „Microsoft SQL Server“, turintį prieigą prie RTU, ir gauti reikiamus kredencialus. Vėliau PIEHOP vykdomas pažeistame kompiuteryje, kad būtų įkeltas LIGHTTWORK į serverį. Tada LIGHTTWORK inicijuoja trikdančias nuotolines komandas, kad pakeistų įrenginių būseną (įjungta arba išjungta) per TCP. Vykdomasis failas nedelsiant ištrinamas, kai pateikiamos instrukcijos.