COSMICENERGY Malware retter seg mot industrier

En nylig oppdaget stamme av skadelig programvare har blitt avdekket, spesielt designet for å infiltrere og forstyrre kritiske systemer i industrielle miljøer. Omtalt som COSMICENERGY av Mandiant, et trusseletterretningsfirma som eies av Google, ble denne skadelige programvaren oppdaget på VirusTotals offentlige skanningsverktøy for skadelig programvare i desember 2021, lastet opp av en person i Russland. Foreløpig er det ingen bevis for utplassering i naturen.

Hovedmålet med COSMICENERGY er å forårsake forstyrrelser i elektrisk kraft ved å målrette mot IEC-104-enheter, for eksempel eksterne terminalenheter (RTUer), som vanligvis brukes i elektrisk overføring og distribusjon over hele Europa, Midtøsten og Asia. Denne skadelige programvaren slutter seg til en familie med spesialisert skadelig programvare, inkludert Stuxnet, Havex, Triton, IRONGATE, BlackEnergy2, Industroyer og PIPEDREAM, alle i stand til å sabotere kritiske systemer og skape utbredt kaos.

Mandiant antyder at det er mulige forbindelser som indikerer at COSMICENERGY kan ha blitt utviklet som et verktøy for red teaming av det russiske telekommunikasjonsfirmaet Rostelecom-Solar. Hensikten vil være å simulere strømbrudd og evaluere beredskapsprosedyrer under øvelser utført i oktober 2021. Dette øker muligheten for at skadevaren enten ble opprettet for å gjenskape realistiske angrepsscenarier mot energinettressurser for forsvarstesting, eller at koden ble gjenbrukt av en annen part assosiert med aktiviteter på nettområdet.

COSMICENERGYs funksjoner og muligheter

Når det gjelder funksjoner og muligheter, viser COSMICENERGY likheter med Industroyer, som har blitt tilskrevet den Kreml-støttede Sandworm-gruppen. Skadevaren utnytter en industriell kommunikasjonsprotokoll kjent som IEC-104 for å gi kommandoer til RTUer. Gjennom denne tilgangen får en angriper muligheten til å sende eksterne kommandoer som påvirker aktiveringen av strømlinjebrytere og strømbrytere, noe som fører til strømbrudd. COSMICENERGY bruker to komponenter, PIEHOP og LIGHTTWORK, skrevet i henholdsvis Python og C++, for å overføre IEC-104-kommandoene til det tilkoblede industriutstyret.

Et bemerkelsesverdig aspekt ved denne skadelige programvaren for industrikontrollsystemet (ICS) er dens begrensede inntrengnings- og oppdagelsesmuligheter. Dette betyr at den er avhengig av at operatøren utfører intern rekognosering av nettverket for å identifisere IP-adressene til IEC-104-enheter som skal målrettes mot. For å utføre et angrep, må en trusselaktør infisere en datamaskin i nettverket, finne en Microsoft SQL Server med tilgang til RTU-ene og skaffe den nødvendige legitimasjonen. Deretter kjøres PIEHOP på den kompromitterte maskinen for å laste opp LIGHTTWORK til serveren. LIGHTTWORK starter deretter forstyrrende fjernkommandoer for å endre tilstanden til enhetene (enten PÅ eller AV) over TCP. Den kjørbare slettes umiddelbart etter at instruksjonene er utstedt.