Modern technology gives us many things.

Νέο κακόβουλο λογισμικό CosmicEnergy που συνδέεται με τη Ρωσία στοχεύει βιομηχανικά συστήματα

Οι ερευνητές ασφάλειας της Mandiant ανακάλυψαν ένα νέο κακόβουλο λογισμικό που ονομάζεται CosmicEnergy που έχει σχεδιαστεί για να διακόπτει τα βιομηχανικά συστήματα και συνδέεται με τη ρωσική εταιρεία κυβερνοασφάλειας Rostelecom-Solar (πρώην Solar Security).

Το κακόβουλο λογισμικό στοχεύει συγκεκριμένα απομακρυσμένες τερματικές μονάδες (RTU) συμβατές με το IEC-104 που χρησιμοποιούνται συνήθως σε εργασίες μεταφοράς και διανομής ηλεκτρικής ενέργειας σε όλη την Ευρώπη, τη Μέση Ανατολή και την Ασία.

Το CosmicEnergy ανακαλύφθηκε μετά τη μεταφόρτωση ενός δείγματος στην πλατφόρμα ανάλυσης κακόβουλου λογισμικού VirusTotal τον Δεκέμβριο του 2021 από κάποιον με ρωσική διεύθυνση IP.

Η ανάλυση του δείγματος κακόβουλου λογισμικού που διέρρευσε έχει αποκαλύψει αρκετές αξιοσημείωτες πτυχές σχετικά με το CosmicEnergy και τη λειτουργικότητά του.

Πρώτον, το κακόβουλο λογισμικό μοιράζεται ομοιότητες με το προηγούμενο κακόβουλο λογισμικό OT, όπως το Industroyer και το Industroyer.V2, και τα δύο χρησιμοποιούνται σε επιθέσεις που στοχεύουν ουκρανούς παρόχους ενέργειας στο Δεκέμβριος 2016 και τον Απρίλιο του 2022.

Επιπλέον, βασίζεται σε Python και χρησιμοποιεί βιβλιοθήκες ανοιχτού κώδικα για την υλοποίηση πρωτοκόλλου OT, όπως και άλλα στελέχη κακόβουλου λογισμικού που στοχεύουν συστήματα βιομηχανικού ελέγχου, όπως IronGate, Τρίτωνκαι Ελεγκτής.

Ακριβώς όπως η Industroyer, η CosmicEnergy πιθανότατα αποκτά πρόσβαση στα συστήματα OT του στόχου μέσω παραβιασμένων διακομιστών MSSQL χρησιμοποιώντας το εργαλείο διακοπής Piehop.

Μόλις εισέλθουν στο δίκτυο των θυμάτων, οι εισβολείς μπορούν να ελέγχουν τις RTU εξ αποστάσεως εκδίδοντας εντολές IEC-104 “ON” ή “OFF” μέσω του κακόβουλου εργαλείου Lightwork.

Αλυσίδα εκτέλεσης CosmicEnergy
Αλυσίδα εκτέλεσης CosmicEnergy (Mandiant)

Η Mandiant πιστεύει ότι αυτό το κακόβουλο λογισμικό που ανακαλύφθηκε πρόσφατα μπορεί να έχει αναπτυχθεί ως ένα κόκκινο εργαλείο ομαδοποίησης που έχει σχεδιαστεί για την προσομοίωση ασκήσεων διακοπής από τη ρωσική εταιρεία κυβερνοασφάλειας Rostelecom-Solar.

Με βάση τις δημόσιες πληροφορίες που δείχνουν ότι η Rostelecom-Solar έλαβε χρηματοδότηση από τη ρωσική κυβέρνηση για εκπαίδευση στον κυβερνοχώρο και προσομοίωση διακοπής ηλεκτρικής ενέργειας, η Mandiant υποπτεύεται ότι το CosmicEnergy θα μπορούσε επίσης να χρησιμοποιηθεί από Ρώσους παράγοντες απειλών σε αποτρεπτικές κυβερνοεπιθέσεις που στοχεύουν κρίσιμες υποδομές όπως άλλα εργαλεία της κόκκινης ομάδας.

“Κατά τη διάρκεια της ανάλυσής μας για το COSMICENERGY, εντοπίσαμε ένα σχόλιο στον κώδικα που υποδείκνυε ότι το δείγμα χρησιμοποιεί μια μονάδα που σχετίζεται με ένα έργο που ονομάζεται “Solar Polygon”. Αναζητήσαμε τη μοναδική συμβολοσειρά και εντοπίσαμε ένα μεμονωμένο ταίριασμα σε ένα εύρος του κυβερνοχώρου (γνωστός και ως πολύγωνο) που αναπτύχθηκε από τη Rostelecom-Solar,” Mandiant είπε.

“Αν και δεν έχουμε εντοπίσει επαρκή στοιχεία για να προσδιορίσουμε την προέλευση ή τον σκοπό του COSMICENERGY, πιστεύουμε ότι το κακόβουλο λογισμικό αναπτύχθηκε πιθανώς είτε από την Rostelecom-Solar είτε από συνδεδεμένο μέρος για την αναδημιουργία πραγματικών σεναρίων επίθεσης σε ενεργειακά δίκτυα,” Mandiant είπε.

“Δεδομένου ότι οι φορείς απειλών χρησιμοποιούν εργαλεία κόκκινων ομάδων και πλαίσια δημόσιας εκμετάλλευσης για στοχευμένη δραστηριότητα απειλής στη φύση, πιστεύουμε ότι η COSMICENERGY αποτελεί εύλογη απειλή για τα επηρεαζόμενα περιουσιακά στοιχεία του ηλεκτρικού δικτύου.”

Όπως ανέφερε η Microsoft τον Απρίλιο του 2022, μετά την εισβολή της Ρωσίας στην Ουκρανία, ρωσικές ομάδες χάκερ έχουν αναπτύξει πολλές οικογένειες κακόβουλου λογισμικού (μερικές από αυτές δεν έχουν ξαναφανεί στην άγρια ​​φύση) σε καταστροφικές επιθέσεις εναντίον ουκρανικών στόχων, συμπεριλαμβανομένων κρίσιμων υποδομών.

Η λίστα περιλαμβάνει αλλά δεν περιορίζεται σε WhisperGate/WhisperKill, FoxBlade (γνωστός και ως HermeticWiper), SonicVote (γνωστός και ως HermeticRansom), CaddyWiper, DesertBlade, Industroyer2, Lasainraw (γνωστός και ως IsaacWiper) και FiberLake (γνωστός και ως γνωστός). DoubleZero).

Οι Ρώσοι στρατιωτικοί χάκερ Sandworm χρησιμοποίησαν το κακόβουλο λογισμικό Industroyer2 για να στοχεύσουν το δίκτυο ICS ενός εξέχοντος ουκρανικού παρόχου ενέργειας, αλλά δεν κατάφεραν να καταργήσουν τους ηλεκτρικούς υποσταθμούς υψηλής τάσης και να διακόψουν την παροχή ενέργειας σε ολόκληρη τη χώρα.



bleepingcomputer.com

Follow TechWar.gr on Google News

Απάντηση