COSMICENERGY 恶意软件针对行业

最近发现了一种恶意软件，专门用于渗透和破坏工业环境中的关键系统。谷歌旗下的威胁情报公司 Mandiant 将这种恶意软件称为 COSMICENERGY，该恶意软件于 2021 年 12 月在 VirusTotal 公共恶意软件扫描实用程序中检测到，由俄罗斯的个人上传。目前，没有证据表明它在野外部署。

COSMICENERGY 的主要目标是通过针对 IEC-104 设备（如远程终端单元 (RTU)）对电力造成干扰，这些设备通常用于欧洲、中东和亚洲的输配电业务。该恶意软件加入了一系列专门的恶意软件，包括 Stuxnet、Havex、Triton、IRONGATE、BlackEnergy2、Industroyer 和 PIPEDREAM，它们都能够破坏关键系统并造成广泛的混乱。

Mandiant 表示，可能存在一些联系，表明 COSMICENERGY 可能是俄罗斯电信公司 Rostelecom-Solar 开发的一种红队工具。目的是在 2021 年 10 月进行的演习中模拟电力中断并评估应急响应程序。这增加了恶意软件创建的可能性，即复制针对能源电网资产的真实攻击场景以进行防御测试，或者其代码被另一个人重新利用与网络靶场活动相关的一方。

COSMICENERGY 的特点和能力

在特性和功能方面，COSMICENERGY 与 Industroyer 有相似之处，后者归功于克里姆林宫支持的 Sandworm 集团。该恶意软件利用称为 IEC-104 的工业通信协议向 RTU 发出命令。通过这种访问，攻击者能够发送影响电力线开关和断路器启动的远程命令，从而导致电力中断。 COSMICENERGY 使用两个组件，PIEHOP 和 LIGHTWORK，分别用 Python 和 C++ 编写，将 IEC-104 命令传输到连接的工业设备。

这种工业控制系统 (ICS) 恶意软件的一个显着方面是其有限的入侵和发现能力。这意味着它依赖于运营商对网络进行内部侦察，以确定 IEC-104 设备的 IP 地址作为目标。要进行攻击，威胁行为者需要感染网络中的计算机，找到可以访问 RTU 的 Microsoft SQL Server，并获得必要的凭据。随后，在受感染的机器上执行 PIEHOP，将 LIGHTWORK 上传到服务器。 LIGHTWORK 然后通过 TCP 发起破坏性的远程命令来改变单元的状态（打开或关闭）。发出指令后，可执行文件会立即被删除。