研究人員發現新的 ICS 惡意軟件工具包旨在導致電力中斷
在過去幾年中,國家支持的攻擊者一直在提高攻擊電網等關鍵基礎設施以造成嚴重破壞的能力。
這個武器庫的新成員是一個惡意軟件工具包,它似乎是由一家俄羅斯網絡安全公司為紅隊演習開發的。
該惡意軟件被 Mandiant 的研究人員稱為 COSMICENERGY,它可以與遠程終端單元 (RTU) 和其他操作技術 (OT) 設備交互,這些設備通過專門的 IEC 60870-5-104 (IEC-104) 協議進行通信,通常用于電氣工程和電力自動化。
研究人員在他們的報告中說:COSMICENERGY 是能夠造成網絡物理影響的專門 OT 惡意軟件的最新例子,這種影響很少被發現或披露。
對惡意軟件及其功能的分析表明,它的功能可與之前的事件和惡意軟件中使用的功能相媲美,例如 INDUSTROYER 和 INDUSTROYER.V2,這兩種惡意軟件都是過去部署的惡意軟件變體,通過 IEC-104 影響電力傳輸和分配”。
受過去攻擊啟發的紅隊框架
INDUSTROYER,也稱為 Crashoverride,是一種惡意軟件程序,于 2016 年用于攻擊烏克蘭電網,導致該國首都基輔五分之一的地區斷電一小時。
惡意軟件通過充當數據歷史記錄器的 MS-SQL 服務器到達 OT 網絡上的 RTU,然后通過 IEC-104 發出開/關命令以影響電力線開關和斷路器。
INDUSTROYER 的創建和使用歸功于 Sandworm,這是一個 APT 組織,據信是俄羅斯軍事情報部門 GRU 內的網絡戰單位。
2022 年,Sandworm 試圖使用名為 INDUSTROYER.V2 的更新版惡意軟件再次攻擊烏克蘭的電網。
2021 年 12 月,俄羅斯某人將 Mandiant 發現的新 COSMICENERGY 工具包上傳到公共惡意軟件掃描服務。
對該代碼的分析表明,它是為一家名為 Rostelecom-Solar 的俄羅斯網絡安全公司主持的紅隊演習而創建的,該公司與俄羅斯政府有聯系。
雖然我們還沒有找到足夠的證據來確定 COSMICENERGY 的起源或目的,但我們認為該惡意軟件可能是由 Rostelecom-Solar 或關聯方開發的,目的是重現針對電網資產的真實攻擊場景。
該惡意軟件可能用于支持演習,例如 Rostelecom-Solar 在 2021 年與俄羅斯能源部合作舉辦的演習或在 2022 年為圣彼得堡國際經濟論壇 (SPIEF) 舉辦的演習。
Rostelecom-Solar 已獲得俄羅斯政府的資助,用于培訓網絡安全專家并開展電力中斷和應急響應演習。
惡意軟件工具包中的一個模塊包含對 Solar Polygon 的引用,該術語的搜索者將其與 Rostelecom-Solar 聯系起來。
根據Mandiant的說法,盡管它與紅隊演習有明顯的聯系,但這種惡意軟件工具包有可能已經或可以重新用于現實世界的攻擊,包括之前使用私人承包商開發工具的俄羅斯民族國家行為者。
手動部署的兩部分惡意軟件負載
COSMICENERGY 由兩部分組成:一個用 Python 編寫,一個用 C++ 編寫。基于 Python 的組件被 Mandiant 稱為 PIEHOP,旨在連接到 MS-SQL 服務器并上傳文件或發出命令。
連接后,它會部署名為 LIGHTWORK 的第二個組件,該組件旨在通過 TCP 通過 IEC-104 向連接的 RTU 發出開和關命令。
它制作可配置的 IEC-104 應用服務數據單元 (ASDU) 消息,以將 RTU 信息對象地址 (IOA) 的狀態更改為開或關。LIGHTWORK 利用目標設備、端口和 IEC-104 命令的位置命令行參數。
IOA 與 RTU 上的輸入和輸出相關聯,這取決于配置和部署可以映射到連接的斷路器或電源線開關。不同 RTU 制造商、單個設備甚至環境之間的 IOA 映射可能不同,這意味著攻擊者需要擁有關于他們所針對的部署的預先存在的偵察信息。
分析的 LIGHTWORK 樣本有八個硬編碼 IOA,但在不知道確切的目標資產的情況下,很難確定攻擊者在向它們發出命令時的意圖。
此外,PIEHOP 組件和惡意軟件本身沒有任何內置的網絡發現功能,這意味著攻擊者需要已經擁有有關目標 MSSQL 服務器和 RTU 的信息,例如憑據和 IP 地址,才能成功部署組件。這使它成為入侵后工具包。
雖然 COSMICENERGY 不與以前的 OT 惡意軟件工具共享任何代碼,但它確實借鑒了其中幾個工具的技術,除了 INDUSTROYER:IRONGATE 和 TRITON 也觀察到使用 Python 進行 OT 惡意軟件開發;使用實施專有 OT 協議并降低開發此類威脅的門檻的開源庫;濫用 IEC-104 等設計不安全且缺乏身份驗證或加密機制的協議。
如何緩解和檢測 CONSMICENERGY
雖然沒有證據表明 COSMICENERGY 已被用于野外攻擊,但這種可能性不容忽視,至少它可以為其他 OT 惡意軟件開發人員提供靈感,就像 INDUSTROYER 為其創建者提供靈感一樣。
報告原文鏈接
https://www.mandiant.com/resources/blog/cosmicenergy-ot-malware-russian-response
包含妥協指標和文件哈希值,該公司還建議組織進行主動威脅搜尋:
- 為皇冠上的明珠系統(例如人機界面 (HMI)、工程工作站 (EWS) 和環境中的 OPC 客戶端服務器)建立基于主機的日志的收集和聚合,并查看日志以獲取 Python 腳本或未經授權的代碼執行的證據這些系統。
- 識別并調查在 OT 系統或有權訪問 OT 資源的系統上創建、傳輸和/或執行未經授權的 Python 打包可執行文件(例如 PyInstaller 或 Py2Exe)。
- 監視有權訪問 OT 資源的系統,以創建合法的臨時文件夾、文件、工件和外部庫,作為執行打包的 Python 腳本的證據,例如。創建臨時“_MEIPASS”PyInstaller 文件夾。
- 監控可訪問 OT 系統和網絡的 MSSQL 服務器以獲取以下證據:MSSQL 服務器和憑據的偵察和枚舉活動、與 MSSQL 服務器的未授權網絡連接 (TCP/1433) 以及不規則或未授權的身份驗證、SQL 擴展存儲過程的啟用和使用Windows shell 命令執行以及 base64 編碼可執行文件的傳輸、創建、暫存和解碼。
