Logiciels malveillants COSMICENERGY

Un logiciel malveillant nouvellement identifié connu sous le nom de COSMICENERGY a attiré l'attention des chercheurs en cybersécurité. Ce logiciel malveillant cible spécifiquement la technologie opérationnelle (OT) et les systèmes de contrôle industriel (ICS), en se concentrant sur les perturbations de l'infrastructure électrique. Il y parvient en exploitant les vulnérabilités des dispositifs CEI 60870-5-104 (CEI-104), en particulier les unités terminales distantes (RTU) couramment utilisées dans les opérations de transmission et de distribution électriques en Europe, au Moyen-Orient et en Asie.

En analysant COSMICENERGY, les chercheurs ont découvert que ses fonctionnalités ressemblent étroitement à celles observées lors d'incidents précédents impliquant des logiciels malveillants, tels que INDUSTROYER et INDUSTROYER.V2 . Ces anciennes variantes de logiciels malveillants ont été spécifiquement conçues pour perturber les systèmes de transmission et de distribution d'électricité en exploitant le protocole IEC-104.

L'émergence de COSMICENERGY met en évidence une tendance inquiétante : la diminution des barrières à l'entrée pour développer des capacités offensives dans le domaine de l'OT. Des acteurs malveillants exploitent les connaissances acquises lors d'attaques précédentes pour créer de nouveaux logiciels malveillants sophistiqués, ce qui pose des risques importants pour les infrastructures critiques.

Les capacités intrusives du malware COSMICENERGY

Le logiciel malveillant COSMICENERGY partage des similitudes avec l'incident INDUSTROYER de 2016 en termes de capacités et de stratégie d'attaque. D'une manière qui rappelle INDUSTROYER, COSMICENERGY utilise les commandes IEC-104 ON/OFF pour interagir avec les terminaux distants (RTU), utilisant potentiellement un serveur MSSQL comme système de conduit pour accéder à l'infrastructure de technologie opérationnelle (OT). En obtenant cet accès, un attaquant peut manipuler à distance des commutateurs de ligne électrique et des disjoncteurs, entraînant des interruptions de courant. COSMICENERGY se compose de deux composants principaux : PIEHOP et LIGHTWORK.

PIEHOP, écrit en Python et fourni avec PyInstaller, sert d'outil de perturbation. Il est capable d'établir des connexions avec des serveurs MSSQL distants fournis par l'utilisateur, permettant le téléchargement de fichiers et l'envoi de commandes à distance aux RTU. PIEHOP s'appuie sur LIGHTWORK pour envoyer des commandes CEI-104, en particulier « ON » ou « OFF », au système ciblé. Après l'exécution de la commande, l'exécutable est rapidement supprimé. Cependant, l'échantillon obtenu de PIEHOP présente des erreurs de logique de programmation qui l'empêchent d'exécuter avec succès ses capacités de contrôle CEI-104. Néanmoins, les chercheurs pensent que ces erreurs peuvent être facilement corrigées par les développeurs de la menace.

D'autre part, LIGHTWORK, écrit en C++, fonctionne comme un outil de perturbation qui implémente le protocole IEC-104 pour modifier l'état des RTU sur TCP. Il élabore des messages d'unité de données de service d'application (ASDU) IEC-104 personnalisables pour modifier l'état des adresses d'objet d'information (IOA) RTU sur « ON » ou « OFF ». LIGHTWORK utilise des arguments de ligne de commande positionnels pour spécifier le périphérique cible, le port et la commande IEC-104.

COSMICENERGY présente une absence notable de capacités de découverte, ce qui indique que l'opérateur de logiciels malveillants devrait effectuer une reconnaissance interne avant de lancer une attaque réussie. Cette phase de reconnaissance implique la collecte d'informations spécifiques sur l'environnement, notamment les adresses IP du serveur MSSQL, les informations d'identification MSSQL et les adresses IP des appareils IEC-104 ciblés.

Similitudes entre COSMICENERGY et d'autres menaces de logiciels malveillants

Bien que COSMICENERGY soit distinct des familles de logiciels malveillants connus, ses capacités présentent des similitudes notables avec celles observées lors d'incidents précédents. En particulier, les chercheurs notent des ressemblances significatives entre COSMICENERGY et les variantes de logiciels malveillants INDUSTROYER et INDUSTROYER.V2, qui ont toutes deux été déployées auparavant pour perturber les systèmes de transmission et de distribution d'électricité.

Outre les similitudes avec INDUSTROYER, COSMICENERGY partage des caractéristiques techniques avec d'autres familles de logiciels malveillants de technologie opérationnelle (OT). Ces similitudes incluent l'utilisation de Python pour le développement ou l'empaquetage et l'utilisation de bibliothèques open source pour la mise en œuvre de protocoles OT. Les familles de logiciels malveillants OT notables qui présentent ces ressemblances techniques incluent IRONGATE, TRITON et INCONTROLLER.

En examinant ces similitudes, les professionnels de la sécurité peuvent mieux comprendre les origines potentielles, les techniques et les implications associées à COSMICENERGY.