CosmicEnergy恶意软件对关键基础设施的威胁评估

关键要点

• 威胁评估 ：Mandiant认为CosmicEnergy对电网运营商构成“合理威胁”。
• 恶意软件起源 ：Dragos的研究指出CosmicEnergy可能是作为训练工具开发，并不具备立即威胁的能力。
• IEC 104协议 ：CosmicEnergy通过IEC 104协议干扰电源，类似于2016年乌克兰的Industroyer攻击。
• 行业警示 ：两个公司一致认为，尽管CosmicEnergy目前没有被主动部署，但其存在应促使组织重新评估OT网络安全。

最近，关于新发现的CosmicEnergy恶意软件对关键基础设施的潜在危险，研究人员们存在分歧。威胁情报公司Mandiant上个月将CosmicEnergy列为对电网运营商的“合理威胁”。Mandiant首次识别该恶意软件是在2021年12月，代码被上传到公共恶意软件扫描工具后。该公司在最近的分析中表示，有证据表明它是为模拟电力中断演练而开发的红队工具。

“鉴于威胁行为者在现实环境中使用红队工具和公共利用框架进行针对性活动，我们认为COSMICENERGY对受影响的电网资产构成合理威胁，”报告中提到。

然而，另一家工业网络安全公司Dragos在上周发布的一份报告中表示，目前CosmicEnergy缺乏足够的成熟度，无法威胁操作技术（OT）网络。

Dragos还提到CosmicEnergy可能作为检测开发的训练工具存在，得出结论认为，尽管它的发现应促使组织重新评估OT安全，但它“并不是对OT环境的即时风险”。

“COSMICENERGY的主要目的是用于训练场景，而非在现实环境中部署。目前没有证据表明有敌对方主动部署COSMICENERGY，”技术负责人Jimmy
Wylie写道。

利用IEC 104漏洞

Mandiant称CosmicEnergy是设计用来通过与使用IEC104协议的设备互动以中断电源，比如通常用于电力传输和配电操作的远程终端单元（RTU）。

CosmicEnergy具备与（也称为）类似的能力，该恶意软件在2016年对乌克兰首都基辅的电网发起了攻击。它与2022年在乌克兰电力变电站发现的Industroyer2（Industroyer的更新版本）也有相似之处，这个版本在激活之前就被发现。

这三种恶意软件类型都通过IEC 104发出开关命令以与RTU互动，并可能使用Microsoft SQL服务器访问OT系统，Mandiant表示。

一旦CosmicEnergy获得访问权限，它可以通过向电力开关和断路器发送远程命令来发起电力中断。Mandiant表示，CosmicEnergy使用了两个组成部分，称为Piehop和Lightwork。

• Piehop ：一个Python工具，连接到远程MSSQL服务器以上传文件并向RTU发出远程命令。
• Lightwork ：用C++编写，用于向远程系统发送IEC 104开关命令，然后立即删除可执行文件。

Dragos认为没有立即威胁

Dragos表示，由于Lightwork是使用符号信息编译的，其研究人员能够反编译该恶意软件代码中的函数和参数名称。这导致发现Lightwork的大多数代码实际上来自一个知名的IEC开源库。

而Industroyer和Industroyer2则使用了自定义的IEC 104库，从而使Dragos得出Lightwork并不是这两种工具的变体的结论。

Lightwork还被硬编码为影响特定的IEC104网络配置，而Industroyer和Industroyer2则具有允许针对网络进行一系列参数更改的配置格式。

“在目前的形式下，COSMICENERGY并不是对OT的直接威胁。其作为训练工具的迹象以及编码错误和缺乏发展成熟度