Вредоносное ПО COSMICENERGY нацелено на отрасли
Был обнаружен недавно обнаруженный штамм вредоносного программного обеспечения, специально предназначенного для проникновения и нарушения работы критически важных систем в промышленных средах. Эта вредоносная программа, которую Mandiant, принадлежащая Google компания по анализу угроз, называет COSMICENERGY, была обнаружена общедоступной утилитой сканирования вредоносных программ VirusTotal в декабре 2021 года и загружена физическим лицом из России. В настоящее время нет никаких доказательств его распространения в дикой природе.
Основной целью COSMICENERGY является создание помех в электроснабжении путем воздействия на устройства IEC-104, такие как удаленные терминалы (RTU), которые обычно используются в операциях по передаче и распределению электроэнергии в Европе, на Ближнем Востоке и в Азии. Это вредоносное ПО входит в семейство специализированных вредоносных программ, включая Stuxnet, Havex, Triton, IRONGATE, BlackEnergy2, Industroyer и PIPEDREAM, способных саботировать критически важные системы и создавать массовый хаос.
Mandiant предполагает, что существуют возможные связи, указывающие на то, что COSMICENERGY могла быть разработана российской телекоммуникационной компанией «Ростелеком-Солар» как инструмент для объединения красных команд. Цель будет состоять в том, чтобы смоделировать перебои в подаче электроэнергии и оценить процедуры реагирования на чрезвычайные ситуации во время учений, проведенных в октябре 2021 года. Это повышает вероятность того, что вредоносное ПО было либо создано для воспроизведения реалистичных сценариев атак на активы энергосистемы для тестирования защиты, либо его код был перепрофилирован другим сторона, связанная с действиями киберполигона.
Особенности и возможности COSMICENERGY
По характеристикам и возможностям COSMICENERGY имеет сходство с Industroyer, который приписывается поддерживаемой Кремлем группе Sandworm. Вредоносная программа использует промышленный протокол связи, известный как IEC-104, для передачи команд RTU. Благодаря этому доступу злоумышленник получает возможность отправлять удаленные команды, влияющие на срабатывание выключателей линий электропередач и автоматических выключателей, что приводит к перебоям в подаче электроэнергии. COSMICENERGY использует два компонента, PIEHOP и LIGHTWORK, написанные на Python и C++ соответственно, для передачи команд IEC-104 на подключенное промышленное оборудование.
Одним из примечательных аспектов этого вредоносного ПО для систем промышленного управления (ICS) являются его ограниченные возможности вторжения и обнаружения. Это означает, что он полагается на оператора для проведения внутренней разведки сети для определения IP-адресов целевых устройств IEC-104. Чтобы осуществить атаку, субъекту угрозы необходимо заразить компьютер в сети, найти сервер Microsoft SQL Server с доступом к RTU и получить необходимые учетные данные. Затем на скомпрометированной машине выполняется PIEHOP для загрузки LIGHTWORK на сервер. Затем LIGHTWORK инициирует разрушительные удаленные команды для изменения состояния устройств (ВКЛ или ВЫКЛ) через TCP. Исполняемый файл сразу же удаляется после выдачи инструкций.