Otkriven je novi tip malicioznog softvera koji je dizajniran da prodre i ometa kritične sisteme u industrijskim okruženjima.
Kompanija za obavještavanje o pretnjama Mandiant, u vlasništvu Google-a, nazvala je maliciozni softver COSMICENERGY, dodajući da ga je podnosilac iz Rusije učitao u javni uslužni program za skeniranje malicioznog softvera u decembru 2021. godine. Nema dokaza da se koristio u praksi.
„Maliciozni softver je dizajniran da izazove prekid električne energije interakcijom sa IEC 60870-5-104 (IEC-104) uređajima, kao što su udaljene terminalne jedinice (RTU), koje se obično koriste u operacijama prenosa i distribucije električne energije u Evropi, srednjem Istoku i Aziji” saopštila je kompanija.
COSMICENERGY je najnoviji dodatak specijalizovanom malware-u kao što su Stuxnet, Havex, Triton, IRONGATE, BlackEnergy2, Industroyer i PIPEDREAM, koji je u stanju da sabotira kritične sisteme i izazove haos.
Mandiant je rekao da postoje posredne veze da je možda razvijen kao crveni alat za udruživanje od strane ruske telekom kompanije Rostelecom-Solar za simulaciju prekida napajanja i vježbi reagovanja u vanrednim situacijama koje su održane u oktobru 2021. godine.
Ovo otvara mogućnost da je maliciozni softver ili razvijen za rekreiranje realističnih scenarija napada na sredstva energetske mreže kako bi se testirala obrana ili je druga strana ponovo koristila kod povezan s kibernetičkim dometom.
Druga alternativa nije nečuvena, posebno u svjetlu činjenice da je poznato da se hakeri prilagođavaju i prenamjenjuju legitimni crveni tim i alate nakon eksploatacije za maliciozne ciljeve.
Karakteristike COSMICENERGY-a su uporedive sa karakteristikama Industroyer-a, koji se pripisuje Sandworm hakerskoj grupi koju podržava Kremlj, zbog njegove sposobnosti da iskoristi industrijski komunikacioni protokol nazvan IEC-104 za izdavanje komandi RTU-ovima.
“Iskoristivši ovaj pristup, napadač može slati daljinske komande kako bi uticao na aktiviranje prekidača strujnih linija i prekidača kako bi uzrokovao prekid napajanja” rekao je Mandiant.
Ovo se postiže pomoću dve komponente koje se zovu PIEHOP i LIIGHTTWORK, koje su dva alata za ometanje napisana na Python-u i C++, za prenos IEC-104 komandi na povezanu industrijsku opremu.
Još jedan značajan aspekt malicioznog softvera industrijskog kontrolnog sistema (ICS) je nedostatak mogućnosti upada i otkrivanja, što znači da zahtijeva od operatera da izvrši interno izviđanje mreže kako bi odredio IP adrese uređaja IEC-104 koje će biti ciljane.
Da bi izvršio napad, haker bi morao da zarazi računar unutar mreže, pronađe Microsoft SQL Server koji ima pristup RTU-ovima i dobije njegove kredencijale.
PIEHOP se zatim pokreće na mašini kako bi učitao LIGHTWORK na server, koji šalje ometajuće daljinske komande za modifikovanje stanja jedinica (UKLJUČENO ili ISKLJUČENO) preko TCP-a. Takođe odmah briše izvršnu datoteku nakon izdavanja instrukcija.
„Iako se mogućnosti COSMICENERGY-a ne razlikuju značajno od prethodnih familija OT malware-a, njegovo otkriće naglašava nekoliko značajnih razvoja u okruženju OT pretnji“ rekao je Mandiant.
“Otkriće novog OT malware-a predstavlja neposrednu pretnju pogođenim organizacijama, budući da su ova otkrića rijetka i zato što maliciozni softver uglavnom koristi prednosti nesigurnih po dizajnu karakteristika OT okruženja za koje je malo vjerovatno da će biti otklonjene u skorije vrijeme.”
Izvor: The Hacker News