COSMICENERGY: Новое вредоносное ПО связано с учениями по ликвидации чрезвычайных ситуаций

COSMICENERGY: Новое вредоносное ПО связано с учениями по ликвидации чрезвычайных ситуаций

По словам исследователей, Red Team-инструмент специально разработан для имитации атак.

image

Исследователи безопасности Mandiant обнаружили новое вредоносное ПО под названием CosmicEnergy, предназначенное для нарушения работы промышленных систем и связанное с ИБ-компанией «Ростелеком-Солар».

Вредоносная программа нацелена на удаленные терминалы (Remote Terminal Unit, RTU), соответствующие стандарту IEC-104, которые обычно используются в операциях по передаче и распределению электроэнергии в Европе, на Ближнем Востоке и в Азии.

CosmicEnergy был обнаружен после того, как образец был загружен на VirusTotal в декабре 2021 года пользователем с российским IP-адресом. Анализ образца выявил несколько аспектов, касающихся CosmicEnergy и его функциональности.

  • CosmicEnergy имеет сходство с ВПО Industroyer и Industroyer2, которые использовались в атаках на украинские энергетические компании в 2022 году;
  • CosmicEnergy основан на Python и использует библиотеки с открытым исходным кодом для реализации протокола OT;
  • Как и Industroyer, CosmicEnergy, вероятно, получает доступ к OT-системам цели через скомпрометированные серверы MSSQL с помощью инструмента для разрушения Piehop.

Оказавшись внутри сети жертв, злоумышленники могут удаленно управлять RTU, выдавая команды IEC-104 «ON» или «OFF» с помощью вредоносного инструмента Lightwork.

Цепочка атаки CosmicEnergy

Mandiant полагает, что обнаруженное вредоносное ПО могло быть разработано в качестве инструмента красной команды, предназначенного для имитации действий ИБ-компании «Ростелеком-Солар». Эксперты Mandiant подозревают, что CosmicEnergy также может использоваться хакерами для разрушительных кибератак на критически важную инфраструктуру, как и другие инструменты красной команды.

«Хотя мы не нашли достаточных доказательств, чтобы определить происхождение или цель CosmicEnergy, мы считаем, что вредоносное ПО, возможно, было разработано либо «Ростелеком-Солар», либо связанной стороной для воссоздания реальных сценариев атак на активы энергосистемы», — заявили исследователи Mandiant.

Стандарт IEC-104 - это часть стандарта IEC Telecontrol Equipment and Systems Standard IEC 60870-5, который предоставляет профиль коммуникации для отправки базовых сообщений между двумя системами в области электротехники и автоматизации систем. Стандарт IEC-104 использует стандартные транспортные профили для доступа к сети IEC 60870-5-101 (также известный как IEC 101) и передает сообщения IEC 101 как данные приложения (L7) по 2404 порту . Стандарт IEC-104 позволяет обмен данными между станцией управления и подстанцией через стандартную сеть TCP/IP. Коммуникация основана на модели клиент-сервер.

Ученые доказали: чтение нашего канала продлевает жизнь!

Ладно, не доказали. Но мы работаем над этим

Поучаствуйте в эксперименте — подпишитесь