COSMICENERGY 惡意軟件針對行業

最近發現了一種惡意軟件，專門用於滲透和破壞工業環境中的關鍵系統。谷歌旗下的威脅情報公司 Mandiant 將這種惡意軟件稱為 COSMICENERGY，該惡意軟件於 2021 年 12 月在 VirusTotal 公共惡意軟件掃描實用程序中檢測到，由俄羅斯的個人上傳。目前，沒有證據表明它在野外部署。

COSMICENERGY 的主要目標是通過針對 IEC-104 設備（如遠程終端單元 (RTU)）對電力造成乾擾，這些設備通常用於歐洲、中東和亞洲的輸配電業務。該惡意軟件加入了一系列專門的惡意軟件，包括 Stuxnet、Havex、Triton、IRONGATE、BlackEnergy2、Industroyer 和 PIPEDREAM，它們都能夠破壞關鍵系統並造成廣泛的混亂。

Mandiant 表示，可能存在一些聯繫，表明 COSMICENERGY 可能是俄羅斯電信公司 Rostelecom-Solar 開發的一种红隊工具。目的是在 2021 年 10 月進行的演習中模擬電力中斷並評估應急響應程序。這增加了惡意軟件創建的可能性，即復製針對能源電網資產的真實攻擊場景以進行防禦測試，或者其代碼被另一個人重新利用與網絡靶場活動相關的一方。

COSMICENERGY 的特點和能力

在特性和功能方面，COSMICENERGY 與 Industroyer 有相似之處，後者歸功於克里姆林宮支持的 Sandworm 集團。該惡意軟件利用稱為 IEC-104 的工業通信協議向 RTU 發出命令。通過這種訪問，攻擊者能夠發送影響電力線開關和斷路器啟動的遠程命令，從而導致電力中斷。 COSMICENERGY 使用兩個組件，PIEHOP 和 LIGHTWORK，分別用 Python 和 C++ 編寫，將 IEC-104 命令傳輸到連接的工業設備。

這種工業控制系統 (ICS) 惡意軟件的一個顯著方面是其有限的入侵和發現能力。這意味著它依賴於運營商對網絡進行內部偵察，以確定 IEC-104 設備的 IP 地址作為目標。要進行攻擊，威脅行為者需要感染網絡中的計算機，找到可以訪問 RTU 的 Microsoft SQL Server，並獲得必要的憑據。隨後，在受感染的機器上執行 PIEHOP，將 LIGHTWORK 上傳到服務器。 LIGHTWORK 然後通過 TCP 發起破壞性的遠程命令來改變單元的狀態（打開或關閉）。發出指令後，可執行文件會立即被刪除。