Русский 
English
Français
Deutsch
Español
Italiano
Português
日本語
한국어
COSMICENERGY: Новое вредоносное ПО ОТ, возможно, связано с российскими учениями по реагированию на чрезвычайные ситуации
Компания Mandiant обнаружила новое вредоносное ПО, ориентированное на операционные технологии (ОТ) и промышленные системы управления (ICS), которое мы отслеживаем как COSMICENERGY, загруженное в общедоступную утилиту сканирования вредоносных программ в декабре 2021 года отправителем из России. Вредоносное ПО предназначено для того, чтобы вызывать сбои в электроснабжении путем взаимодействия с устройствами IEC 60870-5-104 (IEC-104), такими как удаленные терминальные устройства (RTU), которые обычно используются при операциях по передаче и распределению электроэнергии в Европе, на Ближнем Востоке. и Азия.
COSMICENERGY — новейший пример специализированного ОТ-вредоносного ПО, способного вызывать киберфизические воздействия, которые редко обнаруживаются или раскрываются. Уникальность COSMICENERGY заключается в том, что, согласно нашему анализу, подрядчик, возможно, разработал ее как инструмент красной команды для имитации перебоев в электроснабжении, проводимых Ростелеком-Солар, российской компанией по кибербезопасности. Анализ вредоносного ПО и его функциональности показывает, что его возможности сопоставимы с теми, которые использовались в предыдущих инцидентах, а также с вредоносными программами, такими как INDUSTROYER и INDUSTROYER.V2, которые представляли собой варианты вредоносного ПО, развернутые в прошлом для воздействия на передачу и распределение электроэнергии через IEC-104.
Обнаружение COSMICENERGY показывает, что барьеры для разработки наступательных возможностей ОТ снижаются по мере того, как злоумышленники используют знания, полученные в результате предыдущих атак, для разработки нового вредоносного ПО. Учитывая, что злоумышленники используют инструменты красной команды и общедоступные системы эксплуатации для целенаправленной деятельности по угрозам в дикой природе, мы считаем, что COSMICENERGY представляет реальную угрозу для затронутых электросетевых активов. Владельцы OT-активов, использующие устройства, соответствующие стандарту IEC-104, должны принять меры для предотвращения потенциального развертывания COSMICENERGY.
Возможности COSMICENERGY и общая стратегия атаки напоминают инцидент с INDUSTROYER в 2016 году, когда для взаимодействия с удаленными терминалами были выданы команды включения/выключения IEC-104 и, согласно одному анализу, возможно, использовался сервер MSSQL в качестве системы каналов для доступа к OT. Используя этот доступ, злоумышленник может отправлять удаленные команды, чтобы повлиять на срабатывание выключателей линий электропередачи и автоматических выключателей, чтобы вызвать сбой в подаче электроэнергии. COSMICENERGY достигает этого посредством двух своих производных компонентов, которые мы отслеживаем как PIEHOP и LIGHTWORK (технический анализ см. в приложениях).
В COSMICENERGY отсутствуют возможности обнаружения, а это означает, что для успешного выполнения атаки оператору вредоносного ПО необходимо будет провести некоторую внутреннюю разведку для получения информации об окружающей среде, такой как IP-адреса серверов MSSQL, учетные данные MSSQL и IP-адреса целевых устройств IEC-104. Полученный нами образец LIGHTWORK включает восемь жестко закодированных адресов информационных объектов (IOA) IEC-104, которые обычно коррелируют с элементами входных или выходных данных на устройстве и могут соответствовать выключателям линий электропередачи или автоматическим выключателям в конфигурации RTU или реле. Однако сопоставления IOA часто различаются в зависимости от производителя, устройства и даже среды. По этой причине конкретные действия, намеченные субъектом, неясны без дополнительной информации о целевых активах.
В ходе анализа COSMICENERGY мы обнаружили в коде комментарий, указывающий, что в образце используется модуль, связанный с проектом под названием «Solar Polygon» (рис. 2). Мы провели поиск уникальной строки и нашли единственное совпадение с кибердиапазоном (так называемым полигоном), разработанным Ростелеком-Солар, российской компанией по кибербезопасности, которая получила государственную субсидию в 2019 году для начала подготовки специалистов по кибербезопасности и проведения мероприятий по сбоям в электроснабжении и чрезвычайным ситуациям. упражнения на реагирование.
Хотя мы не выявили достаточных доказательств, чтобы определить происхождение или цель COSMICENERGY, мы полагаем, что вредоносное ПО, возможно, было разработано либо «Ростелеком-Солар», либо связанной с ним стороной для воссоздания реальных сценариев атак на энергосетевые активы. Не исключено, что вредоносное ПО использовалось для поддержки учений, подобных тем, которые проводила «Ростелеком-Солар» в 2021 году совместно с Минэнерго России или в 2022 году в рамках Петербургского международного экономического форума (ПМЭФ).