Търсене
Close this search box.

CosmicEnergy е способен да спре електрическата мрежа

Руски софтуер, който може да изключва (или включва) промишлени машини и има паралели с някои от най-опасните промишлени зловредни програми в света, е забелязан публично във  VirusTotal (VT).

Изследователите от Mandiant забелязаха „CosmicEnergy“ наскоро, като отбелязаха, че той е бил качен от руски потребител още през декември 2021 г. Мистерията се задълбочи само с един конкретен коментар в кода – доказателство, че инструментът може да е бил разработен за учение на червения екип за прекъсване на електрозахранването, организирано от руската компания за киберсигурност Rostelecom-Solar.

„Смятаме, че … е възможно друг участник – със или без разрешение – да е използвал повторно код, свързан с киберполето, за да разработи този зловреден софтуер“, предположиха изследователите в публикация в блога си на 25 май.

Далеч от всеки обикновен VT образец или инструмент на червения екип, CosmicEnergy „представлява правдоподобна заплаха за засегнатите активи на електрическата мрежа“, обясняват те, благодарение на способността си да манипулира вид промишлено устройство за управление, наречено отдалечен терминал (RTU).

RTU е специален вид индустриален контролер, който използва телеметрия за връзка между индустриалните машини и техните системи за управление. Функцията му е сравнително проста – получава данни и ги предава за анализ, но от решаващо значение е, че той може да включва и изключва автоматизирани промишлени процеси.

В много отношения CosmicEnergy е създаден по модела на Industroyer – първия зловреден софтуер, предназначен да срине електрическата мрежа – особено най-новия вариант на Industroyer, използван миналата година от руската напреднала постоянна заплаха (APT) Sandworm при атака срещу Украйна. Изследователите го оприличават и на някои от другите най-дяволски програми, които някога са се докосвали до индустриални мрежи, включително Irongate, Ironcontroller и Triton/Trisis.

За Даниел Капелман Зафра, мениджър по анализите в Mandiant в Google Cloud, CosmicEnergy демонстрира колко достъпен може да бъде зловредният софтуер, предназначен за кинетични щети. „Те вече са се научили как да го правят; това го прави много опасен“, казва той.

Какво трябва да знаете за зловредния софтуер CosmicEnergy

Използвайки CosmicEnergy, нападателят може да предизвика прекъсване на електрозахранването, като просто изпрати команда за задействане на превключвател или прекъсвач на електропровод. Той постига това с два компонента.

Първо, PieHop е инструмент, базиран на Python, който свързва контролиран от нападателя MSSQL сървър с RTU в набелязан промишлен обект.

След това PieHop използва втория компонент – Lightwork, инструмент, базиран на C++, за да се възползва от възможностите за превключване на RTU, като променя състоянието на RTU, преди да изтрие изпълнимия файл от целевата система.

Изследователите отбелязват, че „образецът на PieHop, който получихме, съдържа грешки в програмната логика, които му пречат да изпълнява успешно своите възможности за управление по IEC-104“, но добавят, че „вярваме, че тези грешки могат лесно да бъдат коригирани“.

Индустриалните RTU са несигурни като дизайн

Отстрани може да се предположи, че устройство, което контролира чувствителни промишлени процеси, е снабдено със защитни средства. Но това не би могло да бъде по-далеч от истината.

„Най-често на този етап няма допълнителна защита“, казва Капелман Зафра от Mandiant за RTU и други подобни контролери. „Тенденцията е, че последните видове семейства зловреден софтуер, които наблюдаваме в областта на OT, се възползват от протоколи, които са отворени.“

RTU са жертва на явлението „insecure by design“, наречено и популяризирано преди повече от десетилетие от влиятелния в областта на индустриалната сигурност Дейл Питърсън. Идеята, накратко, е, че промишлените машини често са проектирани да работят в надеждна среда, без да се има предвид сигурността, поради възрастта, сложността и други фактори. Често техните характеристики – самите функции, описани подробно в ръководствата им – могат да бъдат тълкувани в контекста на сигурността като уязвимости.

За всеки, който е свикнал с ИТ, ще звучи назадничаво, че например RTU не прилагат дори основно криптиране на входящите или изходящите потоци от данни. Както обяснява Капелман Зафра, „когато работите с данни от гледна точка на традиционните ИТ, това, за което наистина искате да сте сигурни, е, че никой не може да получи достъп до данните. В случая със сигурността на ОТ обаче тези данни подпомагат даден процес. Така че това, за което се грижите най-много, е тази част от данните да изпълни предназначението си и вашият процес да продължи да функционира по начина, по който се очаква да функционира.“

С други думи, сигурността на данните е на по-ниско място от безопасността и надеждността. „Приоритетите от гледна точка на ОТ са различни и въз основа на това ние не прилагаме контрол на сигурността, който може да попречи на киберфизичния процес“, казва изследователят.

Тъй като съществува такава отвореност на тези иначе критични устройства, защитата срещу CosmicEnergy – или Industroyer, или Triton, в този смисъл – изисква внимание и проактивност. „Това не е толкова просто, колкото да разполагате с всички видове различни решения за сигурност“, казва Капелман Зафра.

Той подчертава, че откриването е ключово. „Защото, въпреки че имаме правила и IoC за злонамерен софтуер, това, което виждаме при тези видове реализации, е, че често не можете просто да стартирате правило и да очаквате, че ще го откриете. Трябва да сте с отворени очи за поведения, които не се очакват.“

Източник: DARKReading

Подобни публикации

18 юни 2024

Koсмосът: Последната граница за кибератаки

Неспособността да си представим – и да се подготвим за –...
18 юни 2024

Лондонските болници още не могат да се съвземат...

Няколко лондонски болници, които все още не са се справили с кибера...
17 юни 2024

Арестуваха британец от Scattered Spider

22-годишен британски гражданин, за когото се предполага, че е свърз...
17 юни 2024

Adobe с вътрешни проблеми на фона на опасения, ...

Adobe гаси пожар на два фронта заради политиката си за използване н...
17 юни 2024

Потребностите от електроенергия в центровете за...

Новото партньорство на Google с базираната в Невада компания NV Ene...
17 юни 2024

Microsoft поправи безкликова уязвимост в Outlook

Morphisec предупреждава, че една от уязвимостите, които Microsoft о...
17 юни 2024

ASUS предупреждава за проблеми при 7 рутера

ASUS пусна нова актуализация на фърмуера, която отстранява уязвимос...
Бъдете социални
Още по темата
18/06/2024

Koсмосът: Последната границ...

Неспособността да си представим – и...
18/06/2024

Лондонските болници още не ...

Няколко лондонски болници, които все още...
15/06/2024

Наследените технологии преч...

Според ново проучване остарелите наследени технологии...
Последно добавени
18/06/2024

Koсмосът: Последната границ...

Неспособността да си представим – и...
18/06/2024

Лондонските болници още не ...

Няколко лондонски болници, които все още...
17/06/2024

Арестуваха британец от Scat...

22-годишен британски гражданин, за когото се...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!