COSMICENERGY-Malware

Eine neu identifizierte Malware namens COSMICENERGY hat die Aufmerksamkeit von Cybersicherheitsforschern auf sich gezogen. Diese Malware zielt speziell auf Betriebstechnik (OT) und industrielle Steuerungssysteme (ICS) ab und konzentriert sich auf Störungen in der Strominfrastruktur. Dies wird erreicht, indem Schwachstellen in IEC 60870-5-104 (IEC-104)-Geräten ausgenutzt werden, insbesondere in Remote Terminal Units (RTUs), die häufig bei Stromübertragungs- und -verteilungsvorgängen in Europa, dem Nahen Osten und Asien eingesetzt werden.

Bei der Analyse von COSMICENERGY haben Forscher herausgefunden, dass seine Funktionalitäten stark denen ähneln, die bei früheren Vorfällen mit Malware wie INDUSTROYER und INDUSTROYER.V2 beobachtet wurden. Diese früheren Malware-Varianten wurden speziell entwickelt, um Stromübertragungs- und -verteilungssysteme durch Ausnutzung des IEC-104-Protokolls zu stören.

Das Aufkommen von COSMICENERGY unterstreicht einen besorgniserregenden Trend: die sinkenden Eintrittsbarrieren für die Entwicklung offensiver Fähigkeiten im Bereich OT. Böse gesinnte Akteure nutzen Erkenntnisse aus früheren Angriffen, um neue und raffinierte Malware zu entwickeln, was erhebliche Risiken für kritische Infrastrukturen mit sich bringt.

Die aufdringlichen Fähigkeiten der COSMICENERGY-Malware

Die COSMICENERGY-Malware weist hinsichtlich ihrer Fähigkeiten und Angriffsstrategie Ähnlichkeiten mit dem INDUSTROYER-Vorfall aus dem Jahr 2016 auf. In einer Art und Weise, die an INDUSTROYER erinnert, nutzt COSMICENERGY IEC-104-EIN/AUS-Befehle, um mit Remote Terminal Units (RTUs) zu interagieren, und nutzt möglicherweise einen MSSQL-Server als Leitungssystem für den Zugriff auf die Infrastruktur der Betriebstechnik (OT). Durch diesen Zugriff kann ein Angreifer Stromleitungsschalter und Leistungsschalter aus der Ferne manipulieren und so zu Stromunterbrechungen führen. COSMICENERGY besteht aus zwei Hauptkomponenten: PIEHOP und LIGHTWORK.

PIEHOP, in Python geschrieben und mit PyInstaller verpackt, dient als Störungstool. Es ist in der Lage, Verbindungen mit vom Benutzer bereitgestellten Remote-MSSQL-Servern herzustellen, was das Hochladen von Dateien und das Ausgeben von Remote-Befehlen an RTUs ermöglicht. PIEHOP verlässt sich auf LIGHTWORK, um IEC-104-Befehle, insbesondere „EIN“ oder „AUS“, an das Zielsystem zu senden. Nach der Eingabe des Befehls wird die ausführbare Datei umgehend gelöscht. Das erhaltene Beispiel von PIEHOP weist jedoch Programmierlogikfehler auf, die es daran hindern, seine IEC-104-Steuerungsfähigkeiten erfolgreich auszuführen. Dennoch glauben Forscher, dass diese Fehler von den Entwicklern der Bedrohung leicht behoben werden können.

Andererseits fungiert LIGHTWORK, geschrieben in C++, als Störungstool, das das IEC-104-Protokoll implementiert, um den Status von RTUs über TCP zu ändern. Es erstellt anpassbare IEC-104-ASDU-Nachrichten (Application Service Data Unit), um den Status der RTU-Informationsobjektadressen (IOAs) entweder auf „EIN“ oder „AUS“ zu ändern. LIGHTWORK verwendet positionelle Befehlszeilenargumente, um das Zielgerät, den Port und den IEC-104-Befehl anzugeben.

COSMICENERGY weist einen bemerkenswerten Mangel an Erkennungsfähigkeiten auf, was darauf hindeutet, dass der Malware-Betreiber eine interne Aufklärung durchführen müsste, bevor er einen erfolgreichen Angriff starten kann. In dieser Aufklärungsphase werden spezifische Umgebungsinformationen erfasst, darunter IP-Adressen des MSSQL-Servers, MSSQL-Anmeldeinformationen und die IP-Adressen der anvisierten IEC-104-Geräte.

Ähnlichkeiten zwischen COSMICENERGY und anderen Malware-Bedrohungen

Obwohl sich COSMICENERGY von bekannten Malware-Familien unterscheidet, weisen seine Fähigkeiten bemerkenswerte Ähnlichkeiten mit denen auf, die bei früheren Vorfällen beobachtet wurden. Insbesondere stellen die Forscher erhebliche Ähnlichkeiten zwischen COSMICENERGY und den Malware-Varianten INDUSTROYER und INDUSTROYER.V2 fest, die beide zuvor eingesetzt wurden, um Stromübertragungs- und -verteilungssysteme zu stören.

Zusätzlich zu den Ähnlichkeiten mit INDUSTROYER hat COSMICENERGY technische Merkmale mit anderen Familien von Operational Technology (OT)-Malware gemeinsam. Zu diesen Ähnlichkeiten gehören die Verwendung von Python für die Entwicklung oder Paketierung und die Nutzung von Open-Source-Bibliotheken zur Implementierung von OT-Protokollen. Zu den bemerkenswerten OT-Malware-Familien, die diese technischen Ähnlichkeiten aufweisen, gehören IRONGATE, TRITON und INCONTROLLER.

Durch die Untersuchung dieser Ähnlichkeiten können Sicherheitsexperten ein tieferes Verständnis der möglichen Ursprünge, Techniken und Auswirkungen von COSMICENERGY erlangen.