Компания Mandiant обнаружила новую вредоносную программу, ориентированную на операционные технологии (ОТ) / промышленные системы управления (ICS), которую мы отслеживаем как COSMICENERGY, загруженную в публичную утилиту сканирования вредоносного ПО в декабре 2021 года пользователем из России. Вредоносная программа предназначена для нарушения электроснабжения путем взаимодействия с устройствами стандарта IEC 60870-5-104 (IEC-104), такими как удаленные терминалы (RTU), которые обычно используются в операциях по передаче и распределению электроэнергии в Европе, на Ближнем Востоке и в Азии.
COSMICENERGY Malware
COSMICENERGY является последним примером специализированного вредоносного ПО для ОТ, способного оказывать киберфизическое воздействие, которое редко обнаруживается или раскрывается. Уникальность COSMICENERGY заключается в том, что, согласно нашему анализу, подрядчик мог разработать ее в качестве инструмента "красной команды" для имитационных учений по нарушению электроснабжения, проводимых российской компанией "Ростелеком-Солар", занимающейся кибербезопасностью. Анализ вредоносной программы и ее функциональности показывает, что ее возможности сопоставимы с теми, которые использовались в предыдущих инцидентах и вредоносных программах, таких как INDUSTROYER и INDUSTROYER.V2, которые в прошлом использовались для воздействия на передачу и распределение электроэнергии через IEC-104.
Обнаружение COSMICENERGY иллюстрирует, что барьеры для развития наступательных возможностей ОТ снижаются по мере того, как субъекты используют знания из предыдущих атак для разработки новых вредоносных программ. Учитывая, что угрожающие субъекты используют инструменты "красных команд" и публичные механизмы эксплуатации для целенаправленной угрожающей деятельности в "дикой природе", мы считаем, что COSMICENERGY представляет собой правдоподобную угрозу для затронутых активов электрических сетей. Владельцы активов ОТ, использующие устройства, соответствующие стандарту IEC-104, должны принять меры для предотвращения возможного развертывания COSMICENERGY.
Возможности и общая стратегия атаки COSMICENERGY напоминают инцидент 2016 года с INDUSTROYER, который выдавал команды IEC-104 ON/OFF для взаимодействия с RTU и, согласно одному из анализов, мог использовать сервер MSSQL в качестве канальной системы для доступа к ОТ. Используя этот доступ, злоумышленник может отправлять удаленные команды, чтобы повлиять на срабатывание выключателей и автоматических выключателей линии электропередачи и вызвать перебои в подаче электроэнергии. COSMICENERGY достигает этого с помощью двух своих производных компонентов, которые мы отслеживаем как PIEHOP и LIGHTWORK (технический анализ см. в приложениях).
- PIEHOP - это инструмент для устранения сбоев, написанный на Python и упакованный с PyInstaller, который способен подключаться к предоставленному пользователем удаленному серверу MSSQL для загрузки файлов и выдачи удаленных команд на RTU. PIEHOP использует LIGHTWORK для подачи команд IEC-104 "ON" или "OFF" на удаленную систему, а затем немедленно удаляет исполняемый файл после подачи команды. Полученный нами образец PIEHOP содержит ошибки в логике программирования, которые не позволяют ему успешно выполнять свои функции управления по стандарту IEC-104, но мы считаем, что эти ошибки могут быть легко исправлены.
- LIGHTWORK - это инструмент прерывания, написанный на C++, который реализует протокол IEC-104 для изменения состояния RTU по TCP. Он использует конфигурируемые сообщения IEC-104 Application Service Data Unit (ASDU) для изменения состояния адресов информационных объектов (IOA) RTU на ON или OFF. LIGHTWORK использует позиционные аргументы командной строки для целевого устройства, порта и команды IEC-104.
COSMICENERGY не имеет возможности обнаружения, что означает, что для успешного выполнения атаки оператору вредоносной программы необходимо провести внутреннюю разведку для получения информации о среде, такой как IP-адреса сервера MSSQL, учетные данные MSSQL и IP-адреса целевого устройства IEC-104. Полученный нами образец LIGHTWORK включает восемь жестко закодированных адресов информационных объектов IEC-104 (IOA), которые обычно соотносятся с элементами входных или выходных данных на устройстве и могут соответствовать выключателям линии электропередачи или автоматическим выключателям в конфигурации RTU или реле. Однако сопоставления IOA часто различаются между производителями, устройствами и даже средами. По этой причине конкретные действия, намеченные агентом, неясны без дополнительных знаний о целевых активах.
Хотя COSMICENERGY напрямую не пересекается ни с одним из ранее замеченных семейств вредоносных программ, его возможности сопоставимы с теми, которые использовались в предыдущих инцидентах и вредоносных программах. Наиболее значительное сходство мы обнаружили с INDUSTROYER и INDUSTROYER.V2, которые в прошлом использовались для поражения систем передачи и распределения электроэнергии. COSMICENERGY также имеет заметное техническое сходство с другими семействами вредоносных программ для ОТ, которые были разработаны или упакованы с использованием Python или использовали библиотеки с открытым исходным кодом для реализации протокола ОТ, включая IRONGATE, TRITON и INCONTROLLER. Более подробный анализ этих сходств доступен в Mandiant Advantage.
В связи с этими сходствами мы выделяем следующие тенденции, которые могут проявиться в будущих вредоносных программах для ОТ:
- Злоупотребление небезопасными по своей конструкции протоколами: В то время как семейства OT-ориентированных вредоносных программ могут быть специально созданы для определенной целевой среды, вредоносные программы, использующие преимущества незащищенных протоколов OT, как, например, злоупотребление LIGHTWORK протоколом IEC-104, могут быть модифицированы и использованы несколько раз, чтобы поразить множество жертв.
- Использование библиотек с открытым исходным кодом для реализации протоколов: Наличие проектов с открытым исходным кодом, реализующих протоколы ОТ, может снизить барьер входа для субъектов, пытающихся взаимодействовать с устройствами ОТ. Тем не менее, проприетарные протоколы ОТ, скорее всего, по-прежнему будут требовать реализации протоколов на заказ.
- Использование Python для разработки и/или упаковки вредоносного ПО: Мы ожидаем, что злоумышленники будут продолжать наблюдать компиляцию или упаковку своих вредоносных программ для ОТ с помощью таких методов, как PyInstaller (IRONGATE) или Py2Exe (TRITON), учитывая распространение вредоносных программ для ОТ, разработанных или упакованных с использованием Python в последние годы.
Хотя возможности COSMICENERGY не сильно отличаются от возможностей предыдущих семейств OT-вредоносов, его обнаружение подчеркивает несколько заметных изменений в ландшафте OT-угроз. Во-первых, обнаружение новых вредоносных программ для ОТ представляет собой непосредственную угрозу для пострадавших организаций, поскольку такие находки случаются редко, а вредоносные программы в основном используют небезопасные конструктивные особенности сред ОТ, которые вряд ли будут исправлены в ближайшее время. Во-вторых, поскольку COSMICENERGY, возможно, был разработан в составе "красной команды", это открытие говорит о том, что барьеры для входа в систему снижаются для наступательных OT-угроз, поскольку обычно мы наблюдаем такие возможности только у хорошо обеспеченных ресурсами или спонсируемых государством субъектов. Наконец, мы подчеркиваем, что хотя полученные нами образцы COSMICENERGY потенциально связаны с "красной командой", угрожающие субъекты регулярно используют подрядчиков и инструменты "красной команды" в реальной угрожающей деятельности, в том числе во время атак на ОТ.
Indicators of Compromise
MD5
- 2b86adb6afdfa9216ef8ec2ff4fd2558
- 7b6678a1c0000344f4faf975c0cfc43d
- adfa40d44a58e1bc909abca444f7f616
- c018c54eff8fd0b9be50b5d419d80f21
- cd8f394652db3d0376ba24a990403d20
- f716b30fc3d71d5e8678cc6b81811db4
SHA1
- 20c9c04a6f8b95d2f0ce596dac226d56be519571
- 4d7c4bc20e8c392ede2cb0cef787fe007265973b
- 6eceb78acd1066294d72fe86ed57bf43bc6de6eb
- a9b5b16769f604947b9d8262841aa3082f7d71a2
- bc07686b422aa0dd01c87ccf557863ee62f6a435
- e91e4df49afa628fba1691b7c668af64ed6b0e1d
SHA256
- 182d6f5821a04028fe4b603984b4d33574b7824105142b722e318717a688969e
- 358f0f8c23acea82c5f75d6a2de37b6bea7785ed0e32c41109c217c48bf16010
- 740e0d2fba550308344b2fb0e5ecfebdd09329bdcfaa909d3357ad4fe5552532
- 7dc25602983f7c5c3c4e81eeb1f2426587b6c1dc6627f20d51007beac840ea2b
- 8933477e82202de97fb41f4cbbe6af32596cec70b5b47da022046981c01506a7
- 90d96bb2aa2414a0262d38cc805122776a9405efece70beeebf3f0bcfc364c2d