Руски софтуер, който може да изключва (или включва) промишлени машини и има паралели с някои от най-опасните промишлени зловредни програми в света, е забелязан публично във  VirusTotal (VT).

Изследователите от Mandiant забелязаха „CosmicEnergy“ наскоро, като отбелязаха, че той е бил качен от руски потребител още през декември 2021 г. Мистерията се задълбочи само с един конкретен коментар в кода – доказателство, че инструментът може да е бил разработен за учение на червения екип за прекъсване на електрозахранването, организирано от руската компания за киберсигурност Rostelecom-Solar.

„Смятаме, че … е възможно друг участник – със или без разрешение – да е използвал повторно код, свързан с киберполето, за да разработи този зловреден софтуер“, предположиха изследователите в публикация в блога си на 25 май.

Далеч от всеки обикновен VT образец или инструмент на червения екип, CosmicEnergy „представлява правдоподобна заплаха за засегнатите активи на електрическата мрежа“, обясняват те, благодарение на способността си да манипулира вид промишлено устройство за управление, наречено отдалечен терминал (RTU).

RTU е специален вид индустриален контролер, който използва телеметрия за връзка между индустриалните машини и техните системи за управление. Функцията му е сравнително проста – получава данни и ги предава за анализ, но от решаващо значение е, че той може да включва и изключва автоматизирани промишлени процеси.

В много отношения CosmicEnergy е създаден по модела на Industroyer – първия зловреден софтуер, предназначен да срине електрическата мрежа – особено най-новия вариант на Industroyer, използван миналата година от руската напреднала постоянна заплаха (APT) Sandworm при атака срещу Украйна. Изследователите го оприличават и на някои от другите най-дяволски програми, които някога са се докосвали до индустриални мрежи, включително Irongate, Ironcontroller и Triton/Trisis.

За Даниел Капелман Зафра, мениджър по анализите в Mandiant в Google Cloud, CosmicEnergy демонстрира колко достъпен може да бъде зловредният софтуер, предназначен за кинетични щети. „Те вече са се научили как да го правят; това го прави много опасен“, казва той.

Какво трябва да знаете за зловредния софтуер CosmicEnergy

Използвайки CosmicEnergy, нападателят може да предизвика прекъсване на електрозахранването, като просто изпрати команда за задействане на превключвател или прекъсвач на електропровод. Той постига това с два компонента.

Първо, PieHop е инструмент, базиран на Python, който свързва контролиран от нападателя MSSQL сървър с RTU в набелязан промишлен обект.

След това PieHop използва втория компонент – Lightwork, инструмент, базиран на C++, за да се възползва от възможностите за превключване на RTU, като променя състоянието на RTU, преди да изтрие изпълнимия файл от целевата система.

Изследователите отбелязват, че „образецът на PieHop, който получихме, съдържа грешки в програмната логика, които му пречат да изпълнява успешно своите възможности за управление по IEC-104“, но добавят, че „вярваме, че тези грешки могат лесно да бъдат коригирани“.

Индустриалните RTU са несигурни като дизайн

Отстрани може да се предположи, че устройство, което контролира чувствителни промишлени процеси, е снабдено със защитни средства. Но това не би могло да бъде по-далеч от истината.

„Най-често на този етап няма допълнителна защита“, казва Капелман Зафра от Mandiant за RTU и други подобни контролери. „Тенденцията е, че последните видове семейства зловреден софтуер, които наблюдаваме в областта на OT, се възползват от протоколи, които са отворени.“

RTU са жертва на явлението „insecure by design“, наречено и популяризирано преди повече от десетилетие от влиятелния в областта на индустриалната сигурност Дейл Питърсън. Идеята, накратко, е, че промишлените машини често са проектирани да работят в надеждна среда, без да се има предвид сигурността, поради възрастта, сложността и други фактори. Често техните характеристики – самите функции, описани подробно в ръководствата им – могат да бъдат тълкувани в контекста на сигурността като уязвимости.

За всеки, който е свикнал с ИТ, ще звучи назадничаво, че например RTU не прилагат дори основно криптиране на входящите или изходящите потоци от данни. Както обяснява Капелман Зафра, „когато работите с данни от гледна точка на традиционните ИТ, това, за което наистина искате да сте сигурни, е, че никой не може да получи достъп до данните. В случая със сигурността на ОТ обаче тези данни подпомагат даден процес. Така че това, за което се грижите най-много, е тази част от данните да изпълни предназначението си и вашият процес да продължи да функционира по начина, по който се очаква да функционира.“

С други думи, сигурността на данните е на по-ниско място от безопасността и надеждността. „Приоритетите от гледна точка на ОТ са различни и въз основа на това ние не прилагаме контрол на сигурността, който може да попречи на киберфизичния процес“, казва изследователят.

Тъй като съществува такава отвореност на тези иначе критични устройства, защитата срещу CosmicEnergy – или Industroyer, или Triton, в този смисъл – изисква внимание и проактивност. „Това не е толкова просто, колкото да разполагате с всички видове различни решения за сигурност“, казва Капелман Зафра.

Той подчертава, че откриването е ключово. „Защото, въпреки че имаме правила и IoC за злонамерен софтуер, това, което виждаме при тези видове реализации, е, че често не можете просто да стартирате правило и да очаквате, че ще го откриете. Трябва да сте с отворени очи за поведения, които не се очакват.“