COSMICENERGY: Neue OT-Malware steht möglicherweise im Zusammenhang mit russischen Notfallübungen

Mandiant identifizierte neuartige, auf Betriebstechnologie (OT) und industrielle Kontrollsysteme (ICS) ausgerichtete Malware, die wir als COSMICENERGY verfolgen und die im Dezember 2021 von einem Einsender in Russland auf ein öffentliches Malware-Scan-Dienstprogramm hochgeladen wurde. Die Malware soll durch Interaktion mit IEC 60870-5-104 (IEC-104)-Geräten, wie z. B. Remote Terminal Units (RTUs), Stromunterbrechungen verursachen, die häufig bei Stromübertragungs- und -verteilungsvorgängen in Europa und im Nahen Osten eingesetzt werden , und Asien.

COSMICENERGY ist das jüngste Beispiel für spezialisierte OT-Malware, die Cyber-physische Auswirkungen haben kann, die selten entdeckt oder offengelegt werden. Das Besondere an COSMICENERGY ist, dass unserer Analyse zufolge ein Auftragnehmer es möglicherweise als Red-Teaming-Tool für simulierte Stromunterbrechungsübungen entwickelt hat, die von Rostelecom-Solar, einem russischen Cybersicherheitsunternehmen, veranstaltet werden. Die Analyse der Malware und ihrer Funktionalität zeigt, dass ihre Fähigkeiten mit denen vergleichbar sind, die bei früheren Vorfällen und Malware eingesetzt wurden, wie z. B. INDUSTROYER und INDUSTROYER.V2, beides Malware-Varianten, die in der Vergangenheit eingesetzt wurden, um die Stromübertragung und -verteilung über IEC-104 zu beeinträchtigen.

Die Entdeckung von COSMICENERGY zeigt, dass die Eintrittsbarrieren für die Entwicklung offensiver OT-Funktionen sinken, da Akteure Erkenntnisse aus früheren Angriffen nutzen, um neue Malware zu entwickeln. Angesichts der Tatsache, dass Bedrohungsakteure Red-Team-Tools und öffentliche Ausbeutungsrahmen für gezielte Bedrohungsaktivitäten in freier Wildbahn verwenden, glauben wir, dass COSMICENERGY eine plausible Bedrohung für betroffene Stromnetzanlagen darstellt. Besitzer von OT-Anlagen, die IEC-104-konforme Geräte nutzen, sollten Maßnahmen ergreifen, um einem möglichen ungebremsten Einsatz von COSMICENERGY vorzubeugen.

Die Fähigkeiten und die allgemeine Angriffsstrategie von COSMICENERGY scheinen an den INDUSTROYER-Vorfall im Jahr 2016 zu erinnern, bei dem IEC-104-EIN/AUS-Befehle zur Interaktion mit RTUs ausgegeben wurden und einer Analyse zufolge möglicherweise ein MSSQL-Server als Leitungssystem für den Zugriff auf OT genutzt wurde. Mithilfe dieses Zugriffs kann ein Angreifer Fernbefehle senden, um die Betätigung von Stromleitungsschaltern und Leistungsschaltern zu beeinflussen und so eine Stromunterbrechung herbeizuführen. COSMICENERGY erreicht dies über seine beiden abgeleiteten Komponenten, die wir als PIEHOP und LIGHTWORK verfolgen (siehe Anhänge für technische Analysen).

COSMICENERGY verfügt nicht über Erkennungsfunktionen, was bedeutet, dass der Malware-Betreiber zur erfolgreichen Ausführung eines Angriffs eine interne Aufklärung durchführen muss, um Umgebungsinformationen wie MSSQL-Server-IP-Adressen, MSSQL-Anmeldeinformationen und IP-Adressen von Ziel-IEC-104-Geräten zu erhalten. Das von uns erhaltene LIGHTWORK-Beispiel umfasst acht hartcodierte IEC-104-Informationsobjektadressen (IOA), die typischerweise mit Eingangs- oder Ausgangsdatenelementen auf einem Gerät korrelieren und Stromleitungsschaltern oder Leistungsschaltern in einer RTU- oder Relaiskonfiguration entsprechen können. Allerdings unterscheiden sich die IOA-Zuordnungen häufig zwischen Herstellern, Geräten und sogar Umgebungen. Aus diesem Grund sind die konkreten Handlungsabsichten des Akteurs ohne weitere Kenntnis der Zielwerte unklar.

Während unserer Analyse von COSMICENERGY haben wir einen Kommentar im Code identifiziert, der darauf hindeutet, dass das Beispiel ein Modul verwendet, das mit einem Projekt namens „Solar Polygon“ verknüpft ist (Abbildung 2). Wir suchten nach der eindeutigen Zeichenfolge und identifizierten eine einzelne Übereinstimmung mit einem Cyber-Bereich (auch bekannt als Polygon), der von Rostelecom-Solar entwickelt wurde, einem russischen Cyber-Sicherheitsunternehmen, das 2019 einen staatlichen Zuschuss erhielt, um mit der Ausbildung von Cyber-Sicherheitsexperten und der Durchführung von Stromunterbrechungen und Notfällen zu beginnen Reaktionsübungen.

Obwohl wir keine ausreichenden Beweise gefunden haben, um den Ursprung oder Zweck von COSMICENERGY zu bestimmen, gehen wir davon aus, dass die Malware möglicherweise entweder von Rostelecom-Solar oder einer verbundenen Partei entwickelt wurde, um reale Angriffsszenarien gegen Energienetzanlagen nachzubilden. Es ist möglich, dass die Malware zur Unterstützung von Übungen verwendet wurde, wie sie 2021 von Rostelecom-Solar in Zusammenarbeit mit dem russischen Energieministerium oder 2022 für das Internationale Wirtschaftsforum (SPIEF) in St. Petersburg veranstaltet wurden.

Aufgrund des Mangels an schlüssigen Beweisen halten wir es jedoch auch für möglich, dass ein anderer Akteur – mit oder ohne Erlaubnis – Code im Zusammenhang mit der Cyber-Reihe zur Entwicklung dieser Malware wiederverwendet hat. Bedrohungsakteure passen sich regelmäßig Red-Team-Tools an und nutzen sie – etwa kommerzielle und öffentlich verfügbare Exploitation-Frameworks –, um Angriffe in der realen Welt zu ermöglichen, wie etwa den Einsatz von METERPRETER durch TEMP.Veles während des TRITON-Angriffs. Es gibt auch viele Beispiele dafür, dass nationalstaatliche Akteure Auftragnehmer nutzen, um Angriffsfähigkeiten zu entwickeln, wie zuletzt Verträge zwischen dem russischen Verteidigungsministerium und NTC Vulkan zeigen. Diese Beobachtungen lassen die Möglichkeit offen, dass COSMICENERGY mit böswilliger Absicht entwickelt wurde und dass es zumindest zur Unterstützung gezielter Bedrohungsaktivitäten in freier Wildbahn eingesetzt werden kann.

Obwohl sich COSMICENERGY nicht direkt mit zuvor beobachteten Malware-Familien überschneidet, sind seine Fähigkeiten mit denen vergleichbar, die bei früheren Vorfällen und Malware zum Einsatz kamen. Die bedeutendsten Ähnlichkeiten, die wir festgestellt haben, bestehen mit INDUSTROYER und INDUSTROYER.V2, beides Malware-Varianten, die in der Vergangenheit eingesetzt wurden, um die Stromübertragung und -verteilung zu beeinträchtigen. COSMICENERGY weist auch bemerkenswerte technische Ähnlichkeiten mit anderen OT-Malware-Familien auf, die mit Python entwickelt oder verpackt wurden oder die Open-Source-Bibliotheken für die OT-Protokollimplementierung genutzt haben, darunter IRONGATE, TRITON und INCONTROLLER. Weitere Analysen dieser Ähnlichkeiten sind über Mandiant Advantage verfügbar.

Im Hinblick auf diese Ähnlichkeiten heben wir die folgenden Trends hervor, die sich in zukünftiger OT-Malware manifestieren könnten:

Obwohl sich die Fähigkeiten von COSMICENERGY nicht wesentlich von denen früherer OT-Malware-Familien unterscheiden, hebt seine Entdeckung mehrere bemerkenswerte Entwicklungen in der OT-Bedrohungslandschaft hervor. Erstens stellt die Entdeckung neuer OT-Malware eine unmittelbare Bedrohung für betroffene Unternehmen dar, da diese Entdeckungen selten sind und weil die Malware grundsätzlich unsichere Konstruktionsmerkmale von OT-Umgebungen ausnutzt, die in absehbarer Zeit wahrscheinlich nicht behoben werden können. Zweitens deutet diese Entdeckung darauf hin, dass die Eintrittsbarrieren für offensive OT-Bedrohungsaktivitäten sinken, da COSMICENERGY möglicherweise als Teil eines roten Teams entwickelt wurde, da wir normalerweise beobachten, dass diese Art von Fähigkeiten auf gut ausgestattete oder staatlich geförderte Akteure beschränkt sind. Abschließend betonen wir, dass die von uns erhaltenen COSMICENERGY-Proben zwar potenziell mit Red-Teams in Zusammenhang stehen, Bedrohungsakteure jedoch bei realen Bedrohungsaktivitäten, auch bei OT-Angriffen, regelmäßig Auftragnehmer und Red-Team-Tools einsetzen.

Aus diesen Gründen sollten OT-Verteidiger und Asset-Eigentümer mildernde Maßnahmen gegen COSMICENERGY ergreifen, um einer unkontrollierten Verbreitung vorzubeugen und gemeinsame Merkmale und Fähigkeiten besser zu verstehen, die häufig in OT-Malware eingesetzt werden. Dieses Wissen kann bei der Durchführung von Bedrohungsjagdübungen und der Bereitstellung von Erkennungen zur Identifizierung bösartiger Aktivitäten in OT-Umgebungen hilfreich sein.

Wenn Sie Unterstützung bei der Reaktion auf entsprechende Aktivitäten benötigen, wenden Sie sich bitte an Mandiant Consulting. Weitere Analysen von COSMICENERGY sind im Rahmen von Mandiant Advantage Threat Intelligence verfügbar.

Wir stellen gefährdeten Organisationen die folgenden Erkennungsmethoden zur Verfügung, um Bedrohungsjagden für Taktiken, Techniken und Verfahren (TTPs) durchzuführen, die aus dem Toolset abgeleitet sind:

Dateiname

Beschreibung

Hash

r3_iec104_control.exe

Ausführbare PIEHOP PyInstaller-Datei

MD5: cd8f394652db3d0376ba24a990403d20

SHA1: bc07686b422aa0dd01c87ccf557863ee62f6a435

SHA256: 358f0f8c23acea82c5f75d6a2de37b6bea7785ed0e32c41109c217c48bf16010

r3_iec104_control

PIEHOP Python-kompilierter Bytecode-Einstiegspunkt

MD5: f716b30fc3d71d5e8678cc6b81811db4

SHA1: e91e4df49afa628fba1691b7c668af64ed6b0e1d

SHA256: 7dc25602983f7c5c3c4e81eeb1f2426587b6c1dc6627f20d51007beac840ea2b

r3_iec104_control.py

Dekompiliertes PIEHOP-Einstiegspunkt-Python-Skript

MD5: c018c54eff8fd0b9be50b5d419d80f21

SHA1: 4d7c4bc20e8c392ede2cb0cef787fe007265973b

SHA256: 8933477e82202de97fb41f4cbbe6af32596cec70b5b47da022046981c01506a7

iec104_mssql_lib.pyc

PIEHOP Python kompilierter Bytecode

MD5: adfa40d44a58e1bc909abca444f7f616

SHA1: a9b5b16769f604947b9d8262841aa3082f7d71a2

SHA256: 182d6f5821a04028fe4b603984b4d33574b7824105142b722e318717a688969e

iec104_mssql_lib.py

Dekompiliertes PIEHOP-Python-Skript

MD5: 2b86adb6afdfa9216ef8ec2ff4fd2558

SHA1: 20c9c04a6f8b95d2f0ce596dac226d56be519571

SHA256: 90d96bb2aa2414a0262d38cc805122776a9405efece70beeebf3f0bcfc364c2d

OT_T855_IEC104_GR.exe

Ausführbare LIGHTWORK-Datei

MD5: 7b6678a1c0000344f4faf975c0cfc43d

SHA1: 6eceb78acd1066294d72fe86ed57bf43bc6de6eb

SHA256: 740e0d2fba550308344b2fb0e5ecfebdd09329bdcfaa909d3357ad4fe5552532

PIEHOP (Dateiname: r3_iec104_control.exe) (MD5: cd8f394652db3d0376ba24a990403d20) ist ein in Python geschriebenes und mit PyInstaller Version 2.1+ verpacktes Unterbrechungstool, das die Möglichkeit bietet, eine Verbindung zu einem vom Benutzer bereitgestellten Remote-MSSQL-Server herzustellen, um Dateien hochzuladen und Remote-Befehle an eine RTU auszugeben .

PIEHOP erwartet, dass seine Hauptfunktion über eine andere Python-Datei aufgerufen wird und entweder das Argument control=True oder upload=True liefert. Es sind mindestens die folgenden Argumente erforderlich: oik, user und pwd, und wenn es mit control=True aufgerufen wird, muss es auch mit iec104 angegeben werden:

Im analysierten Beispiel ruft der Einstiegspunkt c018c54eff8fd0b9be50b5d419d80f21 (r3_iec104_control.py) von PIEHOP die Hauptfunktion von PIEHOP auf und liefert das Argument control=True. Die Datei c018c54eff8fd0b9be50b5d419d80f21 (r3_iec104_control.py) importiert das Modul „iec104_mssql_lib“, das im extrahierten Inhalt als adfa40d44a58e1bc909abca444f7f616 (iec104_mssql_lib.pyc) enthalten ist:

2b86adb6afdfa9216ef8ec2ff4fd2558 (iec104_mssql_lib.py) implementiert die primären Funktionen von PIEHOP und enthält viele vom Entwickler bereitgestellte Kommentare für den enthaltenen Code. Insbesondere enthält die Hauptfunktion logische Fehler, die dazu führen, dass sie nur eine Verbindung zu einem MSSQL-Server herstellen und OT_T855_IEC104_GR.exe (LIGHTWORK) darauf hochladen kann, bevor sie sofort versucht, sich selbst zu bereinigen.

Bei korrekter Implementierung kann PIEHOP eine Verbindung zu einem vom Benutzer bereitgestellten Remote-MSSQL-Server herstellen, um LIGHTWORK hochzuladen und Remote-Befehle speziell für RTU auszugeben, und sich dann selbst löschen. PIEHOP nutzt LIGHTWORK, um die IEC-104-Befehle „ON“ oder „OFF“ auf dem Remote-System auszuführen und löscht die ausführbare Datei sofort nach der Ausgabe der Befehle.

LIGHTWORK (Dateiname: OT_T855_IEC104_GR.exe) (MD5: 7b6678a1c0000344f4faf975c0cfc43d) ist ein in C++ geschriebenes Unterbrechungstool, das das IEC-104-Protokoll implementiert, um den Status von RTUs über TCP zu ändern. Es erstellt konfigurierbare IEC-104-ASDU-Nachrichten, um den Status von RTU-IOAs auf EIN oder AUS zu ändern. Dieses Beispiel arbeitet mit PIEHOP zusammen, das die Ausführung einrichtet. LIGHTWORK akzeptiert die folgenden positionellen Befehlszeilenargumente:

Nach der Ausführung beginnt LIGHTWORK mit dem Senden eines „C_IC_NA_1 – Stationsabfragebefehls“ an die angegebene Zielstation und fragt den Status der Zielstation ab. Als nächstes sendet es einen „C_SC_NA_1 – Einzelbefehl“ an jeden fest codierten IOA, um den Zustand des IOA der Zielstation zu ändern (AUS oder EIN). Zuletzt sendet es einen einzelnen „C_CS_NA_1 – Taktsynchronisationsbefehl“ an die Zielstation, der die Uhrzeit der Gegenstation mit der Uhrzeit des Geräts synchronisiert, das die Befehle ausgibt.

Bei erfolgreicher Ausführung stellt LIGHTWORK dem Bediener die folgende Befehlszeilenausgabe zur Verfügung:

Regel M_Hunting_PyInstaller_PIEHOP_Module_Strings

{

Meta:

Autor = „Mandiant“

Datum = „11.04.2023“

description = „Suche nach PyInstaller-Dateien mit einem benutzerdefinierten Python-Skript/Modul, das mit PIEHOP verknüpft ist.“

Saiten:

$lib = "iec104_mssql_lib" ascii

Zustand:

uint16(0) == 0x5A4D und uint32(uint32(0x3C)) == 0x00004550 und

$lib

}

Regel M_Hunting_Disrupt_LIGHTWORK_Strings

{

Meta:

Autor = „Mandiant“

beschreibung = „Suche nach Zeichenfolgen im Zusammenhang mit IEC-104, die in LIGHTWORK verwendet werden.“

Datum = „19.04.2023“

Saiten:

$s1 = „Verbindet mit: %s:%i\n“ ASCII-Wide-Nocase

$s2 = „Verbunden!“ ASCII-Breitbild

$s3 = „Steuerbefehl C_SC_NA_1 senden“ ASCII-Wide-Nocase

$s4 = „Verbindung fehlgeschlagen!“ ASCII-Breitbild

$s5 = „Zeitsynchronisierungsbefehl senden“ ASCII-Wide-Nocase

$s6 = „Warten …“ ASCII-Wide-Nocase

$s7 = „exit 0“ ASCII-Wide nocase

Zustand:

Dateigröße < 5 MB und

uint16(0) == 0x5A4D und uint32(uint32(0x3C)) == 0x00004550 und

alle von ihnen

}

T1140: Dateien oder Informationen entschlüsseln/dekodieren

Angreifer können verschleierte Dateien oder Informationen verwenden, um Artefakte eines Einbruchs vor der Analyse zu verbergen. Je nachdem, wie sie diese Informationen verwenden möchten, benötigen sie möglicherweise separate Mechanismen, um diese Informationen zu entschlüsseln oder zu entschlüsseln. Zu den Methoden hierfür gehören die integrierte Funktionalität von Malware oder die Verwendung auf dem System vorhandener Dienstprogramme.

T0807: Befehlszeilenschnittstelle

Angreifer können Befehlszeilenschnittstellen (CLIs) nutzen, um mit Systemen zu interagieren und Befehle auszuführen. CLIs bieten eine Möglichkeit zur Interaktion mit Computersystemen und sind ein gemeinsames Merkmal vieler Arten von Plattformen und Geräten in Steuerungssystemumgebungen. Angreifer können CLIs auch verwenden, um neue Software zu installieren und auszuführen, einschließlich bösartiger Tools, die im Laufe eines Vorgangs installiert werden können.

T0809: Datenvernichtung

Angreifer können im Verlauf einer Operation eine Datenvernichtung durchführen. Um dies zu erreichen, kann der Angreifer Malware, Tools oder andere nicht-native Dateien auf einem Zielsystem ablegen oder erstellen und dabei möglicherweise Spuren böswilliger Aktivitäten hinterlassen. Solche nicht-nativen Dateien und andere Daten können im Laufe eines Einbruchs entfernt werden, um einen geringen Platzbedarf zu wahren, oder als Standardbestandteil des Bereinigungsprozesses nach dem Einbruch.

T0831: Manipulation der Kontrolle

Gegner können die physische Prozesssteuerung im industriellen Umfeld manipulieren. Methoden zur Manipulation der Steuerung können Änderungen an Sollwerten, Tags oder anderen Parametern umfassen. Angreifer können Steuerungssystemgeräte manipulieren oder möglicherweise ihre eigenen nutzen, um mit physischen Steuerungsprozessen zu kommunizieren und diese zu steuern. Die Dauer der Manipulation kann je nach Erkennung durch den Bediener vorübergehend oder länger anhaltend sein.

T0855: Unautorisierte Befehlsnachricht

Angreifer senden möglicherweise nicht autorisierte Befehlsnachrichten, um Steuerungssystemressourcen anzuweisen, Aktionen außerhalb ihrer beabsichtigten Funktionalität auszuführen, oder ohne die logischen Voraussetzungen, um ihre erwartete Funktion auszulösen. Befehlsnachrichten werden in ICS-Netzwerken verwendet, um den Geräten des Steuerungssystems direkte Anweisungen zu geben. Wenn ein Angreifer eine nicht autorisierte Befehlsnachricht an ein Steuerungssystem senden kann, kann er das Gerät des Steuerungssystems anweisen, eine Aktion außerhalb der normalen Grenzen der Aktionen des Geräts auszuführen. Ein Angreifer könnte möglicherweise ein Steuerungssystemgerät anweisen, eine Aktion auszuführen, die einen Aufprall verursacht

Link zum RSS-Feed

Mandiant-Experten beantworten gerne Ihre Fragen.