COSMICENERGY 惡意軟件針對行業
最近發現了一種惡意軟件,專門用於滲透和破壞工業環境中的關鍵系統。谷歌旗下的威脅情報公司 Mandiant 將這種惡意軟件稱為 COSMICENERGY,該惡意軟件於 2021 年 12 月在 VirusTotal 公共惡意軟件掃描實用程序中檢測到,由俄羅斯的個人上傳。目前,沒有證據表明它在野外部署。
COSMICENERGY 的主要目標是通過針對 IEC-104 設備(如遠程終端單元 (RTU))對電力造成乾擾,這些設備通常用於歐洲、中東和亞洲的輸配電業務。該惡意軟件加入了一系列專門的惡意軟件,包括 Stuxnet、Havex、Triton、IRONGATE、BlackEnergy2、Industroyer 和 PIPEDREAM,它們都能夠破壞關鍵系統並造成廣泛的混亂。
Mandiant 表示,可能存在一些聯繫,表明 COSMICENERGY 可能是俄羅斯電信公司 Rostelecom-Solar 開發的一种红隊工具。目的是在 2021 年 10 月進行的演習中模擬電力中斷並評估應急響應程序。這增加了惡意軟件創建的可能性,即復製針對能源電網資產的真實攻擊場景以進行防禦測試,或者其代碼被另一個人重新利用與網絡靶場活動相關的一方。
COSMICENERGY 的特點和能力
在特性和功能方面,COSMICENERGY 與 Industroyer 有相似之處,後者歸功於克里姆林宮支持的 Sandworm 集團。該惡意軟件利用稱為 IEC-104 的工業通信協議向 RTU 發出命令。通過這種訪問,攻擊者能夠發送影響電力線開關和斷路器啟動的遠程命令,從而導致電力中斷。 COSMICENERGY 使用兩個組件,PIEHOP 和 LIGHTWORK,分別用 Python 和 C++ 編寫,將 IEC-104 命令傳輸到連接的工業設備。
這種工業控制系統 (ICS) 惡意軟件的一個顯著方面是其有限的入侵和發現能力。這意味著它依賴於運營商對網絡進行內部偵察,以確定 IEC-104 設備的 IP 地址作為目標。要進行攻擊,威脅行為者需要感染網絡中的計算機,找到可以訪問 RTU 的 Microsoft SQL Server,並獲得必要的憑據。隨後,在受感染的機器上執行 PIEHOP,將 LIGHTWORK 上傳到服務器。 LIGHTWORK 然後通過 TCP 發起破壞性的遠程命令來改變單元的狀態(打開或關閉)。發出指令後,可執行文件會立即被刪除。