Руски софтуер, който може да изключва (или включва) промишлени машини и има паралели с някои от най-опасните промишлени зловредни програми в света, е забелязан публично във VirusTotal (VT).
Изследователите от Mandiant забелязаха „CosmicEnergy“ наскоро, като отбелязаха, че той е бил качен от руски потребител още през декември 2021 г. Мистерията се задълбочи само с един конкретен коментар в кода – доказателство, че инструментът може да е бил разработен за учение на червения екип за прекъсване на електрозахранването, организирано от руската компания за киберсигурност Rostelecom-Solar.
„Смятаме, че … е възможно друг участник – със или без разрешение – да е използвал повторно код, свързан с киберполето, за да разработи този зловреден софтуер“, предположиха изследователите в публикация в блога си на 25 май.
Далеч от всеки обикновен VT образец или инструмент на червения екип, CosmicEnergy „представлява правдоподобна заплаха за засегнатите активи на електрическата мрежа“, обясняват те, благодарение на способността си да манипулира вид промишлено устройство за управление, наречено отдалечен терминал (RTU).
RTU е специален вид индустриален контролер, който използва телеметрия за връзка между индустриалните машини и техните системи за управление. Функцията му е сравнително проста – получава данни и ги предава за анализ, но от решаващо значение е, че той може да включва и изключва автоматизирани промишлени процеси.
В много отношения CosmicEnergy е създаден по модела на Industroyer – първия зловреден софтуер, предназначен да срине електрическата мрежа – особено най-новия вариант на Industroyer, използван миналата година от руската напреднала постоянна заплаха (APT) Sandworm при атака срещу Украйна. Изследователите го оприличават и на някои от другите най-дяволски програми, които някога са се докосвали до индустриални мрежи, включително Irongate, Ironcontroller и Triton/Trisis.
За Даниел Капелман Зафра, мениджър по анализите в Mandiant в Google Cloud, CosmicEnergy демонстрира колко достъпен може да бъде зловредният софтуер, предназначен за кинетични щети. „Те вече са се научили как да го правят; това го прави много опасен“, казва той.
Използвайки CosmicEnergy, нападателят може да предизвика прекъсване на електрозахранването, като просто изпрати команда за задействане на превключвател или прекъсвач на електропровод. Той постига това с два компонента.
Първо, PieHop е инструмент, базиран на Python, който свързва контролиран от нападателя MSSQL сървър с RTU в набелязан промишлен обект.
След това PieHop използва втория компонент – Lightwork, инструмент, базиран на C++, за да се възползва от възможностите за превключване на RTU, като променя състоянието на RTU, преди да изтрие изпълнимия файл от целевата система.
Изследователите отбелязват, че „образецът на PieHop, който получихме, съдържа грешки в програмната логика, които му пречат да изпълнява успешно своите възможности за управление по IEC-104“, но добавят, че „вярваме, че тези грешки могат лесно да бъдат коригирани“.
Отстрани може да се предположи, че устройство, което контролира чувствителни промишлени процеси, е снабдено със защитни средства. Но това не би могло да бъде по-далеч от истината.
„Най-често на този етап няма допълнителна защита“, казва Капелман Зафра от Mandiant за RTU и други подобни контролери. „Тенденцията е, че последните видове семейства зловреден софтуер, които наблюдаваме в областта на OT, се възползват от протоколи, които са отворени.“
RTU са жертва на явлението „insecure by design“, наречено и популяризирано преди повече от десетилетие от влиятелния в областта на индустриалната сигурност Дейл Питърсън. Идеята, накратко, е, че промишлените машини често са проектирани да работят в надеждна среда, без да се има предвид сигурността, поради възрастта, сложността и други фактори. Често техните характеристики – самите функции, описани подробно в ръководствата им – могат да бъдат тълкувани в контекста на сигурността като уязвимости.
За всеки, който е свикнал с ИТ, ще звучи назадничаво, че например RTU не прилагат дори основно криптиране на входящите или изходящите потоци от данни. Както обяснява Капелман Зафра, „когато работите с данни от гледна точка на традиционните ИТ, това, за което наистина искате да сте сигурни, е, че никой не може да получи достъп до данните. В случая със сигурността на ОТ обаче тези данни подпомагат даден процес. Така че това, за което се грижите най-много, е тази част от данните да изпълни предназначението си и вашият процес да продължи да функционира по начина, по който се очаква да функционира.“
С други думи, сигурността на данните е на по-ниско място от безопасността и надеждността. „Приоритетите от гледна точка на ОТ са различни и въз основа на това ние не прилагаме контрол на сигурността, който може да попречи на киберфизичния процес“, казва изследователят.
Тъй като съществува такава отвореност на тези иначе критични устройства, защитата срещу CosmicEnergy – или Industroyer, или Triton, в този смисъл – изисква внимание и проактивност. „Това не е толкова просто, колкото да разполагате с всички видове различни решения за сигурност“, казва Капелман Зафра.
Той подчертава, че откриването е ключово. „Защото, въпреки че имаме правила и IoC за злонамерен софтуер, това, което виждаме при тези видове реализации, е, че често не можете просто да стартирате правило и да очаквате, че ще го откриете. Трябва да сте с отворени очи за поведения, които не се очакват.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.