Търсене
Close this search box.

CosmicEnergy е способен да спре електрическата мрежа

Руски софтуер, който може да изключва (или включва) промишлени машини и има паралели с някои от най-опасните промишлени зловредни програми в света, е забелязан публично във  VirusTotal (VT).

Изследователите от Mandiant забелязаха „CosmicEnergy“ наскоро, като отбелязаха, че той е бил качен от руски потребител още през декември 2021 г. Мистерията се задълбочи само с един конкретен коментар в кода – доказателство, че инструментът може да е бил разработен за учение на червения екип за прекъсване на електрозахранването, организирано от руската компания за киберсигурност Rostelecom-Solar.

„Смятаме, че … е възможно друг участник – със или без разрешение – да е използвал повторно код, свързан с киберполето, за да разработи този зловреден софтуер“, предположиха изследователите в публикация в блога си на 25 май.

Далеч от всеки обикновен VT образец или инструмент на червения екип, CosmicEnergy „представлява правдоподобна заплаха за засегнатите активи на електрическата мрежа“, обясняват те, благодарение на способността си да манипулира вид промишлено устройство за управление, наречено отдалечен терминал (RTU).

RTU е специален вид индустриален контролер, който използва телеметрия за връзка между индустриалните машини и техните системи за управление. Функцията му е сравнително проста – получава данни и ги предава за анализ, но от решаващо значение е, че той може да включва и изключва автоматизирани промишлени процеси.

В много отношения CosmicEnergy е създаден по модела на Industroyer – първия зловреден софтуер, предназначен да срине електрическата мрежа – особено най-новия вариант на Industroyer, използван миналата година от руската напреднала постоянна заплаха (APT) Sandworm при атака срещу Украйна. Изследователите го оприличават и на някои от другите най-дяволски програми, които някога са се докосвали до индустриални мрежи, включително Irongate, Ironcontroller и Triton/Trisis.

За Даниел Капелман Зафра, мениджър по анализите в Mandiant в Google Cloud, CosmicEnergy демонстрира колко достъпен може да бъде зловредният софтуер, предназначен за кинетични щети. „Те вече са се научили как да го правят; това го прави много опасен“, казва той.

Какво трябва да знаете за зловредния софтуер CosmicEnergy

Използвайки CosmicEnergy, нападателят може да предизвика прекъсване на електрозахранването, като просто изпрати команда за задействане на превключвател или прекъсвач на електропровод. Той постига това с два компонента.

Първо, PieHop е инструмент, базиран на Python, който свързва контролиран от нападателя MSSQL сървър с RTU в набелязан промишлен обект.

След това PieHop използва втория компонент – Lightwork, инструмент, базиран на C++, за да се възползва от възможностите за превключване на RTU, като променя състоянието на RTU, преди да изтрие изпълнимия файл от целевата система.

Изследователите отбелязват, че „образецът на PieHop, който получихме, съдържа грешки в програмната логика, които му пречат да изпълнява успешно своите възможности за управление по IEC-104“, но добавят, че „вярваме, че тези грешки могат лесно да бъдат коригирани“.

Индустриалните RTU са несигурни като дизайн

Отстрани може да се предположи, че устройство, което контролира чувствителни промишлени процеси, е снабдено със защитни средства. Но това не би могло да бъде по-далеч от истината.

„Най-често на този етап няма допълнителна защита“, казва Капелман Зафра от Mandiant за RTU и други подобни контролери. „Тенденцията е, че последните видове семейства зловреден софтуер, които наблюдаваме в областта на OT, се възползват от протоколи, които са отворени.“

RTU са жертва на явлението „insecure by design“, наречено и популяризирано преди повече от десетилетие от влиятелния в областта на индустриалната сигурност Дейл Питърсън. Идеята, накратко, е, че промишлените машини често са проектирани да работят в надеждна среда, без да се има предвид сигурността, поради възрастта, сложността и други фактори. Често техните характеристики – самите функции, описани подробно в ръководствата им – могат да бъдат тълкувани в контекста на сигурността като уязвимости.

За всеки, който е свикнал с ИТ, ще звучи назадничаво, че например RTU не прилагат дори основно криптиране на входящите или изходящите потоци от данни. Както обяснява Капелман Зафра, „когато работите с данни от гледна точка на традиционните ИТ, това, за което наистина искате да сте сигурни, е, че никой не може да получи достъп до данните. В случая със сигурността на ОТ обаче тези данни подпомагат даден процес. Така че това, за което се грижите най-много, е тази част от данните да изпълни предназначението си и вашият процес да продължи да функционира по начина, по който се очаква да функционира.“

С други думи, сигурността на данните е на по-ниско място от безопасността и надеждността. „Приоритетите от гледна точка на ОТ са различни и въз основа на това ние не прилагаме контрол на сигурността, който може да попречи на киберфизичния процес“, казва изследователят.

Тъй като съществува такава отвореност на тези иначе критични устройства, защитата срещу CosmicEnergy – или Industroyer, или Triton, в този смисъл – изисква внимание и проактивност. „Това не е толкова просто, колкото да разполагате с всички видове различни решения за сигурност“, казва Капелман Зафра.

Той подчертава, че откриването е ключово. „Защото, въпреки че имаме правила и IoC за злонамерен софтуер, това, което виждаме при тези видове реализации, е, че често не можете просто да стартирате правило и да очаквате, че ще го откриете. Трябва да сте с отворени очи за поведения, които не се очакват.“

Източник: DARKReading

Подобни публикации

9 септември 2024

Шпионският софтуер Predator се появяви отново с...

Шпионският софтуер Predator се е появил отново с нова инфраструктур...
9 септември 2024

Един милион клиенти на Kaspersky в САЩ са прехв...

Клиентите на Kaspersky в Съединените щати са уведомени, че абонамен...
9 септември 2024

CISA сигнализира за грешки в ICS в продуктите н...

Миналата седмица американската Агенция за киберсигурност и инфрастр...
9 септември 2024

Progress LoadMaster е уязвим към недостатък на ...

Progress Software издаде спешна поправка за уязвимост с максимална ...
9 септември 2024

Секс измамите вече използват името на „изневеря...

Нов вариант на продължаващите измами с електронни писма с цел сексу...
9 септември 2024

Новата атака RAMBO краде данни чрез RAM памет

Нова атака по страничен канал, наречена „RAMBO“ (Radiation of Air-g...
9 септември 2024

Гигантът Avis разкрива нарушение на сигурността...

Американският гигант за отдаване на автомобили под наем Avis уведом...
Бъдете социални
Още по темата
09/09/2024

CISA сигнализира за грешки ...

Миналата седмица американската Агенция за киберсигурност...
09/09/2024

Новата атака RAMBO краде да...

Нова атака по страничен канал, наречена...
09/09/2024

Гигантът Avis разкрива нару...

Американският гигант за отдаване на автомобили...
Последно добавени
09/09/2024

Шпионският софтуер Predator...

Шпионският софтуер Predator се е появил...
09/09/2024

Един милион клиенти на Kasp...

Клиентите на Kaspersky в Съединените щати...
09/09/2024

CISA сигнализира за грешки ...

Миналата седмица американската Агенция за киберсигурност...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!