CosmicEnergy napada kritičnu infrastrukturu
Stručnjaci za bezbjednost otkrili su novu vrstu zlonamjernog softvera, nazvanu CosmicEnergy, koja ima potencijal da izazove haos na ključnim infrastrukturnim sistemima i električnim mrežama.
CosmicEnergy
Zlonamjerni softver koji može da isključi (ili uključi) industrijske mašine, može se porediti sa nekim od najopasnijih industrijskih zlonamjernih softvera na svetu, a primijećen je na servisu VirusTotal.
Sigurnosni istraživači kompanije Mandiant su primijetili CosmicEnergy koji je poslan na analizu na servis VirusTotal od korisnika iz Rusije u decembru 2021. godine. Pored toga što je je bio neotkriven više od godinu dana, zagonetan je i komentar koji je pronađen u kôdu, koji možda pokazuje da je softver dizajniran za timske vježbe napada i odbrane ruske kompanije za sajber bezbjednost Rostelecom-Solar. Ipak, zbog nedostatka dokaza, nije isključena mogućnost da je neko – ovlašteno ili neovlašteno – ponovo koristio kôd za razvoj zlonamjernog softvera.
Detaljnija analiza je pokazala da zlonamjerni softver dijeli neke sličnosti sa prethodim zlonamjernim softverima Industroyer i Industroyer.V2 koji su korišteni za napada na ukrajinske dobavljače električne energije u decembru 2016. godine i aprilu 2022. godine.
Za razliku od bilo kog uzorka na servisu VirusTotal ili nekog alata za testiranje, CosmicEnergy predstavlja stvarnu prijetnju za resurse električne mreže, zahvaljujući svojoj sposobnosti da manipuliše tipom industrijskog uređaja koji se zove udaljena terminalna jedinica. Udaljena terminalne jedinice su neophodne za rad i kontrolu sistema za prenos i distribuciju električne mreže, jer se koriste za telemetriju između industrijskih mašina i njihovih kontrolnih sistema.
Jednostavno rečeno, funkcija udaljene terminalne jedinice je da prima i prosljeđuje podatke na analizu, ali i što je još važnije da ima sposobnost da uključuje i isključuje automatizovane industrijske procese. Zlonamjerni softver konkretno cilja udaljene terminalne jedinice usaglašene sa standardom IEC-104, koje se obično koriste u operacijama prenosa i distribucije električne energije širom Evrope, Bliskog Istoka i Azije.
Funkcionisanje
CosmicEnergy je sposoban za interakciju sa udaljenim terminalnim jedinicama, posebno onima koje su usaglašene sa standardom IEC-104 i sastoji od dvije primarne komponente:
- PIEHOP je alatka za ometanje napisana u Python programskom jeziku i upakovana sa PyInstaller-om – objedinjuje Python aplikaciju i sve njene zavisnosti u jedan paket – koja je sposobna da se poveže sa udaljenim MSSQL serverom za otpremanje datoteka i izdavanje daljinskih komandi na udaljenim terminalnim jedinicama. PIEHOP koristi LIGHTWORK da izda IEC-104 komande “Uključi” ili “Isključi” udaljenom sistemu, a zatim odmah briše izvršni fajl nakon izdavanja komande. PIEHOP uzorak koji je u posjedu sigurnosnih istraživača sadrži programske greške koje ga sprečavaju da uspješno izvrši svoje IEC-104 kontrolne mogućnosti, ali vrlo vjerovatno te greške se mogu lako ispraviti.
- LIGHTWORK je alatka za ometanje napisana u C++ koja koristi IEC-104 protokol za promjene stanja na udaljenim terminalnim jedinicama preko TCP protokola. Pravi konfigurabilne poruke koje mogu da promjene stanje adresa na udaljenim terminalnim jedinicama na Uključeno ili Isključeno.
CosmicEnergy nema mogućnosti otkrivanja, što dalje pokazuje da bi napadač morao da izvrši interno izviđanje kako bi dobio informacije o okruženju, kao što su IP adrese MSSQL servera, MSSQL podaci za prijavu i IP adrese ciljanih IEC-104 uređaja za uspješno izvršenje napada.
Zaključak
CosmicEnergy je zlonamjerni softver potencijalno povezan sa Rusijom, namijenjen za za ciljanje industrijskih kontrolnih sistema sa specifičnim ciljem da ometa električne mreže. Ovaj novopronađeni zlonamjerni softver cilja na operativnu tehnologiju i konfigurisan je za povezivanje sa IEC 60870-5-104 (IEC-104) uređajima. Njegova svrha je slanje daljinskih instrukcija koje se miješaju u rad prekidača i prekidača strujnih vodova, potencijalno izazivajući prekide električne energije. Sigurnosti istraživači sugerišu da ovaj zlonamjerni softver predstavlja stvarni rizik za ugrožena sredstva električne mreže, s obzirom da je IEC 60870-5-104 protokol odgovoran za telekomunikacione funkcije u elektro-energetskim sistemima.