Die Entdeckung neuer Schadsoftware, die auf Stromnetze abzielt – ähnlich jener, mit der 2016 die Stromversorgung in Kiew lahmgelegt wurde – zeigt, dass „die Eintrittsbarrieren“ für industrielle Angriffe sinken, sagen Forscher.
Die Bedrohungsforschungsgruppe Mandiant identifizierte die neue Malware, die sie CosmicEnergy nennt, als der Code im Dezember 2021 in ein öffentliches Malware-Scan-Dienstprogramm hochgeladen wurde.
In einer neuen Analyse von CosmicEnergy, die am 25. Mai veröffentlicht wurde, sagt Mandiant nun, dass es darauf ausgelegt sei, die Stromversorgung durch Interaktion mit Geräten zu unterbrechen, die das IEC-104-Protokoll verwenden, wie z. B. Remote Terminal Units (RTUs), die üblicherweise bei der Stromübertragung und -verteilung verwendet werden Betriebe in Europa, dem Nahen Osten und Asien.
Dem Bericht von Mandiant zufolge handelte es sich bei CosmicEnergy um einen seltenen Fund, da spezialisierte Malware für Betriebstechnologie (OT) oder industrielle Kontrollsysteme (ICS), die Cyber-physische Auswirkungen verursachen könnte, selten entdeckt oder offengelegt wurde.
Diejenigen, die entdeckt wurden – darunter Stuxnet, PipeDream und BlackEnergy – haben im Weißen Haus Bedenken hinsichtlich der Notwendigkeit einer Verbesserung der Cybersicherheit kritischer Infrastrukturen geweckt.
Mandiant sagte, ein einzigartiger Aspekt von CosmicEnergy bestehe darin, dass es Beweise dafür gebe, dass es von einem Auftragnehmer als Red-Teaming-Tool für simulierte Stromausfallübungen entwickelt worden sei, die vom russischen Cybersicherheitsunternehmen Rostelecom-Solar veranstaltet würden.
„Diese Entdeckung legt nahe, dass die Eintrittsbarrieren für offensive OT-Bedrohungsaktivitäten sinken, da wir normalerweise beobachten, dass diese Art von Fähigkeiten auf gut ausgestattete oder staatlich geförderte Akteure beschränkt sind“, sagte Mandiant.
Die Analyse der Forschungsgruppe zeigte, dass CosmicEnergy über ähnliche Fähigkeiten verfügte wie Industroyer, die Malware hinter einem Stromnetzangriff auf die ukrainische Hauptstadt Kiew im Jahr 2016. Es ähnelte auch Industroyer2, einer aktualisierten Version von Industroyer, die 2022 in ukrainischen Umspannwerken gefunden wurde, bevor es aktiviert werden konnte.
Wie CosmicEnergy zielten die Industroyer-Varianten auf IEC-104-Geräte ab, gaben IEC-104-Ein-/Aus-Befehle aus, um mit RTUs zu interagieren, und nutzten möglicherweise auch einen MSSQL-Server, um auf OT-Systeme zuzugreifen.
„Die Entdeckung von COSMICENERGY zeigt, dass die Eintrittsbarrieren für die Entwicklung offensiver OT-Funktionen sinken, da Akteure Erkenntnisse aus früheren Angriffen nutzen, um neue Malware zu entwickeln“, heißt es in dem Bericht von Mandiant.
„Angesichts der Tatsache, dass Bedrohungsakteure Red-Team-Tools und öffentliche Ausbeutungsrahmen für gezielte Bedrohungsaktivitäten in freier Wildbahn verwenden, glauben wir, dass COSMICENERGY eine plausible Bedrohung für betroffene Stromnetzanlagen darstellt.“
Sobald CosmicEnergy auf die OT-Systeme eines Ziels zugegriffen hat, konnte es Stromunterbrechungen auslösen, indem es Fernbefehle an Stromleitungsschalter und Leistungsschalter sendete. Mandiant sagte, CosmicEnergy habe dies mithilfe zweier abgeleiteter Komponenten erreicht, die es Piehop und Lightwork nannte.
Piehop war ein Python-Tool, das eine Verbindung zu einem Remote-MSSQL-Server herstellte, um Dateien hochzuladen und Remote-Befehle an eine RTU auszugeben. Es verwendete Lightwork, geschrieben in C++, um die IEC-104-Ein-/Aus-Befehle an das Remote-System zu senden, bevor die ausführbare Datei sofort gelöscht wurde.
Mandiant sagte, seine Analyse von CosmicEnergy habe mehrere Trends in der OT-Bedrohungslandschaft hervorgehoben, darunter den Missbrauch von Protokollen, die „vom Design her unsicher“ wie IEC-104 seien.
„Während OT-orientierte Malware-Familien speziell für eine bestimmte Zielumgebung entwickelt werden können, kann Malware, die von Natur aus unsichere OT-Protokolle ausnutzt, wie etwa der Missbrauch des IEC-104-Protokolls durch LIGHTWORK, mehrfach modifiziert und eingesetzt werden, um mehrere Opfer anzugreifen.“ “, heißt es in dem Bericht.
„Die Verfügbarkeit von Open-Source-Projekten, die OT-Protokolle implementieren, kann die Eintrittsbarriere für Akteure senken, die versuchen, mit OT-Geräten zu interagieren. Allerdings werden proprietäre OT-Protokolle wahrscheinlich weiterhin benutzerdefinierte Protokollimplementierungen erfordern.“
Mandiant empfahl Organisationen, die potenziell durch CosmicEnergy gefährdet sind, mehrere Maßnahmen zu ergreifen, darunter die Identifizierung und Untersuchung aller nicht autorisierten Python-gepackten ausführbaren Dateien auf ihren OT-Systemen oder mit Zugriff auf OT-Ressourcen sowie die Überwachung bestimmter Systeme und MSSQL-Server mit Zugriff auf OT-Ressourcen.
