COSMICENERGY 恶意软件针对行业
最近发现了一种恶意软件,专门用于渗透和破坏工业环境中的关键系统。谷歌旗下的威胁情报公司 Mandiant 将这种恶意软件称为 COSMICENERGY,该恶意软件于 2021 年 12 月在 VirusTotal 公共恶意软件扫描实用程序中检测到,由俄罗斯的个人上传。目前,没有证据表明它在野外部署。
COSMICENERGY 的主要目标是通过针对 IEC-104 设备(如远程终端单元 (RTU))对电力造成干扰,这些设备通常用于欧洲、中东和亚洲的输配电业务。该恶意软件加入了一系列专门的恶意软件,包括 Stuxnet、Havex、Triton、IRONGATE、BlackEnergy2、Industroyer 和 PIPEDREAM,它们都能够破坏关键系统并造成广泛的混乱。
Mandiant 表示,可能存在一些联系,表明 COSMICENERGY 可能是俄罗斯电信公司 Rostelecom-Solar 开发的一种红队工具。目的是在 2021 年 10 月进行的演习中模拟电力中断并评估应急响应程序。这增加了恶意软件创建的可能性,即复制针对能源电网资产的真实攻击场景以进行防御测试,或者其代码被另一个人重新利用与网络靶场活动相关的一方。
COSMICENERGY 的特点和能力
在特性和功能方面,COSMICENERGY 与 Industroyer 有相似之处,后者归功于克里姆林宫支持的 Sandworm 集团。该恶意软件利用称为 IEC-104 的工业通信协议向 RTU 发出命令。通过这种访问,攻击者能够发送影响电力线开关和断路器启动的远程命令,从而导致电力中断。 COSMICENERGY 使用两个组件,PIEHOP 和 LIGHTWORK,分别用 Python 和 C++ 编写,将 IEC-104 命令传输到连接的工业设备。
这种工业控制系统 (ICS) 恶意软件的一个显着方面是其有限的入侵和发现能力。这意味着它依赖于运营商对网络进行内部侦察,以确定 IEC-104 设备的 IP 地址作为目标。要进行攻击,威胁行为者需要感染网络中的计算机,找到可以访问 RTU 的 Microsoft SQL Server,并获得必要的凭据。随后,在受感染的机器上执行 PIEHOP,将 LIGHTWORK 上传到服务器。 LIGHTWORK 然后通过 TCP 发起破坏性的远程命令来改变单元的状态(打开或关闭)。发出指令后,可执行文件会立即被删除。