COSMICENERGY Złośliwe oprogramowanie atakuje branże

Niedawno wykryto szczep złośliwego oprogramowania, zaprojektowanego specjalnie do infiltracji i zakłócania krytycznych systemów w środowiskach przemysłowych. To złośliwe oprogramowanie, określane jako COSMICENERGY przez Mandiant, firmę zajmującą się analizą zagrożeń należącą do Google, zostało wykryte w publicznym narzędziu do skanowania złośliwego oprogramowania VirusTotal w grudniu 2021 r., przesłanym przez osobę z Rosji. Obecnie nie ma dowodów na jego rozmieszczenie na wolności.

Podstawowym celem COSMICENERGY jest powodowanie zakłóceń w zasilaniu elektrycznym poprzez celowanie w urządzenia IEC-104, takie jak zdalne terminale (RTU), powszechnie stosowane w operacjach przesyłu i dystrybucji energii elektrycznej w Europie, na Bliskim Wschodzie iw Azji. To złośliwe oprogramowanie dołącza do rodziny wyspecjalizowanych złośliwych programów, w tym Stuxnet, Havex, Triton, IRONGATE, BlackEnergy2, Industroyer i PIPEDREAM, z których wszystkie są zdolne do sabotowania krytycznych systemów i tworzenia powszechnego chaosu.

Mandiant sugeruje, że istnieją możliwe powiązania wskazujące, że COSMICENERGY mogła zostać opracowana jako narzędzie do czerwonego zespołu przez rosyjską firmę telekomunikacyjną Rostelecom-Solar. Celem byłoby zasymulowanie przerw w dostawie prądu i ocena procedur reagowania w sytuacjach awaryjnych podczas ćwiczeń przeprowadzonych w październiku 2021 r. Rodzi to prawdopodobieństwo, że złośliwe oprogramowanie zostało stworzone w celu odtworzenia realistycznych scenariuszy ataków na zasoby sieci energetycznej w celu testów obronnych lub że jego kod został zmieniony przez inną osobę. strona powiązana z działaniami w cyberprzestrzeni.

Cechy i możliwości COSMICENERGY

Pod względem funkcji i możliwości COSMICENERGY wykazuje podobieństwa do Industroyer, który został przypisany wspieranej przez Kreml grupie Sandworm. Szkodliwe oprogramowanie wykorzystuje przemysłowy protokół komunikacyjny znany jako IEC-104 do wydawania poleceń RTU. Dzięki temu dostępowi atakujący uzyskuje możliwość wysyłania zdalnych poleceń, które wpływają na uruchamianie przełączników linii zasilania i wyłączników automatycznych, prowadząc do przerw w dostawie prądu. COSMICENERGY wykorzystuje dwa komponenty, PIEHOP i LIGHTWORK, napisane odpowiednio w Pythonie i C++, do przesyłania poleceń IEC-104 do podłączonego sprzętu przemysłowego.

Jednym z godnych uwagi aspektów tego szkodliwego oprogramowania dla systemów sterowania przemysłowego (ICS) są jego ograniczone możliwości włamań i wykrywania. Oznacza to, że operator musi przeprowadzić wewnętrzny rekonesans sieci w celu zidentyfikowania adresów IP urządzeń IEC-104, które mają być celem. Aby przeprowadzić atak, cyberprzestępca musiałby zainfekować komputer w sieci, zlokalizować Microsoft SQL Server z dostępem do jednostek RTU i uzyskać niezbędne dane uwierzytelniające. Następnie na zaatakowanej maszynie wykonywany jest PIEHOP w celu przesłania LIGHTWORK na serwer. Następnie LIGHTWORK inicjuje destrukcyjne polecenia zdalne, aby zmienić stan jednostek (włączone lub wyłączone) przez TCP. Plik wykonywalny jest niezwłocznie usuwany po wydaniu instrukcji.