COSMICENERGY Malware riktar sig mot industrier

En nyligen upptäckt stam av skadlig programvara har avslöjats, speciellt utformad för att infiltrera och störa kritiska system inom industriella miljöer. Kallas till som COSMICENERGY av Mandiant, ett hotintelligensföretag som ägs av Google, denna skadliga programvara upptäcktes i VirusTotals offentliga skanningsverktyg för skadlig programvara i december 2021, uppladdat av en person i Ryssland. För närvarande finns det inga bevis för dess utplacering i det vilda.

Det primära syftet med COSMICENERGY är att orsaka störningar i elkraften genom att rikta in sig på IEC-104-enheter, såsom fjärrterminalenheter (RTU), som vanligtvis används i elektriska överförings- och distributionsverksamheter över Europa, Mellanöstern och Asien. Denna skadliga programvara ansluter sig till en familj av specialiserad skadlig programvara, inklusive Stuxnet, Havex, Triton, IRONGATE, BlackEnergy2, Industroyer och PIPEDREAM, som alla kan sabotera kritiska system och skapa omfattande kaos.

Mandiant föreslår att det finns möjliga kopplingar som indikerar att COSMICENERGY kan ha utvecklats som ett verktyg för red teaming av det ryska telekommunikationsföretaget Rostelecom-Solar. Syftet skulle vara att simulera strömavbrott och utvärdera nödåtgärdsprocedurer under övningar som genomfördes i oktober 2021. Detta ger upphov till möjligheten att skadlig programvara antingen skapades för att replikera realistiska attackscenarier mot energinätstillgångar för försvarstestning eller att dess kod återanvändes av en annan part associerad med cyberutbudsaktiviteter.

COSMICENERGYs funktioner och möjligheter

När det gäller funktioner och möjligheter uppvisar COSMICENERGY likheter med Industroyer, som har tillskrivits den Kreml-stödda Sandworm-gruppen. Skadlig programvara utnyttjar ett industriellt kommunikationsprotokoll känt som IEC-104 för att utfärda kommandon till RTU:er. Genom denna åtkomst får en angripare möjligheten att skicka fjärrkommandon som påverkar aktiveringen av strömbrytare och strömbrytare, vilket leder till strömavbrott. COSMICENERGY använder två komponenter, PIEHOP och LIGHTTWORK, skrivna i Python respektive C++, för att överföra IEC-104-kommandon till den anslutna industriella utrustningen.

En anmärkningsvärd aspekt av detta industriella kontrollsystem (ICS) skadlig programvara är dess begränsade intrångs- och upptäcktsmöjligheter. Detta innebär att den förlitar sig på att operatören utför intern spaning av nätverket för att identifiera IP-adresserna för IEC-104-enheter som ska riktas mot. För att utföra en attack skulle en hotaktör behöva infektera en dator i nätverket, hitta en Microsoft SQL Server med åtkomst till RTU:erna och skaffa de nödvändiga referenserna. Därefter exekveras PIEHOP på den komprometterade maskinen för att ladda upp LIGHTTWORK till servern. LIGHTTWORK initierar sedan störande fjärrkommandon för att ändra enheternas tillstånd (antingen PÅ eller AV) över TCP. Den körbara filen raderas omedelbart efter att instruktionerna har utfärdats.