Руски софтуер, който може да изключва (или включва) промишлени машини и има паралели с някои от най-опасните промишлени зловредни програми в света, е забелязан публично във  VirusTotal (VT).

Изследователите от Mandiant забелязаха „CosmicEnergy“ наскоро, като отбелязаха, че той е бил качен от руски потребител още през декември 2021 г. Мистерията се задълбочи само с един конкретен коментар в кода – доказателство, че инструментът може да е бил разработен за учение на червения екип за прекъсване на електрозахранването, организирано от руската компания за киберсигурност Rostelecom-Solar.

„Смятаме, че … е възможно друг участник – със или без разрешение – да е използвал повторно код, свързан с киберполето, за да разработи този зловреден софтуер“, предположиха изследователите в публикация в блога си на 25 май.

Далеч от всеки обикновен VT образец или инструмент на червения екип, CosmicEnergy „представлява правдоподобна заплаха за засегнатите активи на електрическата мрежа“, обясняват те, благодарение на способността си да манипулира вид промишлено устройство за управление, наречено отдалечен терминал (RTU).

RTU е специален вид индустриален контролер, който използва телеметрия за връзка между индустриалните машини и техните системи за управление. Функцията му е сравнително проста – получава данни и ги предава за анализ, но от решаващо значение е, че той може да включва и изключва автоматизирани промишлени процеси.

В много отношения CosmicEnergy е създаден по модела на Industroyer – първия зловреден софтуер, предназначен да срине електрическата мрежа – особено най-новия вариант на Industroyer, използван миналата година от руската напреднала постоянна заплаха (APT) Sandworm при атака срещу Украйна. Изследователите го оприличават и на някои от другите най-дяволски програми, които някога са се докосвали до индустриални мрежи, включително Irongate, Ironcontroller и Triton/Trisis.

За Даниел Капелман Зафра, мениджър по анализите в Mandiant в Google Cloud, CosmicEnergy демонстрира колко достъпен може да бъде зловредният софтуер, предназначен за кинетични щети. „Те вече са се научили как да го правят; това го прави много опасен“, казва той.

Какво трябва да знаете за зловредния софтуер CosmicEnergy

Използвайки CosmicEnergy, нападателят може да предизвика прекъсване на електрозахранването, като просто изпрати команда за задействане на превключвател или прекъсвач на електропровод. Той постига това с два компонента.

Първо, PieHop е инструмент, базиран на Python, който свързва контролиран от нападателя MSSQL сървър с RTU в набелязан промишлен обект.

След това PieHop използва втория компонент – Lightwork, инструмент, базиран на C++, за да се възползва от възможностите за превключване на RTU, като променя състоянието на RTU, преди да изтрие изпълнимия файл от целевата система.

Изследователите отбелязват, че „образецът на PieHop, който получихме, съдържа грешки в програмната логика, които му пречат да изпълнява успешно своите възможности за управление по IEC-104“, но добавят, че „вярваме, че тези грешки могат лесно да бъдат коригирани“.

Индустриалните RTU са несигурни като дизайн

Отстрани може да се предположи, че устройство, което контролира чувствителни промишлени процеси, е снабдено със защитни средства. Но това не би могло да бъде по-далеч от истината.

„Най-често на този етап няма допълнителна защита“, казва Капелман Зафра от Mandiant за RTU и други подобни контролери. „Тенденцията е, че последните видове семейства зловреден софтуер, които наблюдаваме в областта на OT, се възползват от протоколи, които са отворени.“

RTU са жертва на явлението „insecure by design“, наречено и популяризирано преди повече от десетилетие от влиятелния в областта на индустриалната сигурност Дейл Питърсън. Идеята, накратко, е, че промишлените машини често са проектирани да работят в надеждна среда, без да се има предвид сигурността, поради възрастта, сложността и други фактори. Често техните характеристики – самите функции, описани подробно в ръководствата им – могат да бъдат тълкувани в контекста на сигурността като уязвимости.

За всеки, който е свикнал с ИТ, ще звучи назадничаво, че например RTU не прилагат дори основно криптиране на входящите или изходящите потоци от данни. Както обяснява Капелман Зафра, „когато работите с данни от гледна точка на традиционните ИТ, това, за което наистина искате да сте сигурни, е, че никой не може да получи достъп до данните. В случая със сигурността на ОТ обаче тези данни подпомагат даден процес. Така че това, за което се грижите най-много, е тази част от данните да изпълни предназначението си и вашият процес да продължи да функционира по начина, по който се очаква да функционира.“

С други думи, сигурността на данните е на по-ниско място от безопасността и надеждността. „Приоритетите от гледна точка на ОТ са различни и въз основа на това ние не прилагаме контрол на сигурността, който може да попречи на киберфизичния процес“, казва изследователят.

Тъй като съществува такава отвореност на тези иначе критични устройства, защитата срещу CosmicEnergy – или Industroyer, или Triton, в този смисъл – изисква внимание и проактивност. „Това не е толкова просто, колкото да разполагате с всички видове различни решения за сигурност“, казва Капелман Зафра.

Той подчертава, че откриването е ключово. „Защото, въпреки че имаме правила и IoC за злонамерен софтуер, това, което виждаме при тези видове реализации, е, че често не можете просто да стартирате правило и да очаквате, че ще го откриете. Трябва да сте с отворени очи за поведения, които не се очакват.“

Източник: DARKReading

Подобни публикации

24 януари 2025

Google ще инвестира още 1 милиард долара в Anth...

Google обяви, че планира да увеличи инвестициите си в Anthropic, сл...
24 януари 2025

DryRun набира 8,7 милиона долара начално финанс...

В сряда DryRun Security обяви, че е набрала 8,7 млн. долара в начал...
24 януари 2025

Новият Identity Check в Android заключва настро...

Google обяви нова функция за сигурност на Android „Проверка на само...
24 януари 2025

QNAP отстранява 6 уязвимости на Rsync в приложе...

QNAP е отстранила шест уязвимости в rsync, които могат да позволят ...
24 януари 2025

Инженер по ИИ е сред най-бързо развиващите се п...

Инженер по изкуствен интелект (ИИ) е сред най-търсените длъжности н...
24 януари 2025

Шефът на НАТО бърза с внедряването на ИИ във во...

Световният икономически форум предложи поглед към бъдещето – ...
Бъдете социални
Още по темата
24/01/2025

Инженер по ИИ е сред най-бъ...

Инженер по изкуствен интелект (ИИ) е...
24/01/2025

Шефът на НАТО бърза с внедр...

Световният икономически форум предложи поглед към...
23/01/2025

Рекорден брой рансъмуер ата...

В сряда NCC Group публикува доклада...
Последно добавени
24/01/2025

Google ще инвестира още 1 м...

Google обяви, че планира да увеличи...
24/01/2025

DryRun набира 8,7 милиона д...

В сряда DryRun Security обяви, че...
24/01/2025

Новият Identity Check в And...

Google обяви нова функция за сигурност...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!