Mantian güvenlik araştırmacıları, endüstriyel sistemleri bozmak için tasarlanmış ve Rus siber güvenlik kıyafeti Rostelecom-Solar (eski adıyla güneş güvenliği) ile bağlantılı olan Cosmicenergy adlı yeni bir kötü amaçlı yazılım keşfettiler.
Kötü amaçlı yazılım özellikle Avrupa, Orta Doğu ve Asya'daki elektrik iletim ve dağıtım operasyonlarında yaygın olarak kullanılan IEC-104 uyumlu uzaktan terminal birimlerini (RTU) hedeflemektedir.
Kozmikenergy, Aralık 2021'de Rus IP adresi olan biri tarafından Virustotal kötü amaçlı yazılım analiz platformuna bir örnek yüklendikten sonra keşfedildi.
Sızan kötü amaçlı yazılım örneğinin analizi, kozmikenerji ve işlevselliği ile ilgili birkaç dikkate değer yönü ortaya koymuştur.
İlk olarak, kötü amaçlı yazılım, Aralık 2016 ve Nisan 2022'de Ukraynalı enerji sağlayıcılarını hedefleyen saldırılarda kullanılan Industrial ve Industrial.v2 gibi önceki OT kötü amaçlı yazılımlarla benzerlikleri paylaşmaktadır.
Buna ek olarak, python tabanlıdır ve tıpkı irongate, triton ve incirlatör dahil olmak üzere endüstriyel kontrol sistemlerini hedefleyen diğer kötü amaçlı yazılım suşları gibi OT protokol uygulaması için açık kaynaklı kütüphaneler kullanır.
Tıpkı Industryerer gibi, Cosmicentergy muhtemelen Piehop Kesinti Aracını kullanarak tehlikeye atılmış MSSQL sunucuları aracılığıyla hedefin OT sistemlerine erişiyor.
Kurbanların ağına girdikten sonra, saldırganlar Lightwork kötü niyetli aracı aracılığıyla IEC-104 "veya" Kapalı "komutları yayınlayarak RTU'ları uzaktan kontrol edebilirler.
Mantiant, bu yeni keşfedilen kötü amaçlı yazılımların Rus siber güvenlik şirketi Rostelecom-Solar tarafından bozulma egzersizlerini simüle etmek için tasarlanmış bir kırmızı takımlama aracı olarak geliştirilmiş olabileceğine inanıyor.
Rostelecom-Solar'ın Rus hükümetinden siber güvenlik eğitimi ve elektrik enerjisi bozulmasını simüle etmek için finansman aldığını gösteren kamu bilgilerine dayanarak, maniant şüpheliler kozmikenerji, diğer kırmızı ekip araçları gibi kritik altyapıyı hedefleyen yıkıcı siber saldırılarda Rus tehdit aktörleri tarafından da kullanılabilir.
"Kozmikenerji analizimiz sırasında, kodda örneğin 'Solar Polygon' adlı bir proje ile ilişkili bir modül kullandığını gösteren bir yorum belirledik. Benzersiz dizeyi aradık ve Rostelecom-Solar tarafından geliştirilen bir siber menzil (diğer adıyla çokgon) ile tek bir maç belirledik. "Dedi.
Mantiant, "Kozmikenerjinin kökenini veya amacını belirlemek için yeterli kanıt tanımlamamış olsak da, kötü amaçlı yazılımın muhtemelen Rostelecom-Solar veya Enerji Şebekesi varlıklarına karşı gerçek saldırı senaryolarını yeniden yaratmak için ilgili bir taraf tarafından geliştirildiğine inanıyoruz." Dedi.
"Tehdit aktörlerinin vahşi doğada hedeflenen tehdit faaliyeti için kırmızı takım araçları ve kamu sömürü çerçeveleri kullandığı göz önüne alındığında, Cosmicentergy'nin etkilenen elektrikli şebeke varlıkları için makul bir tehdit oluşturduğuna inanıyoruz."
Microsoft'un Nisan 2022'de bildirdiği gibi, Rusya Ukrayna'yı işgal ettikten sonra, Rus hackleme grupları, kritik altyapı da dahil olmak üzere Ukrayna hedeflerine yönelik yıkıcı saldırılarda birçok kötü amaçlı yazılım ailesini (bazıları daha önce vahşi doğada görmüyor) konuşlandırdı.
Liste, Whispergate/Whisperkill, Foxblade (aka Hermeticwiper), Sonicvote (aka Hermeticransom), Caddywiper, Desertblade, Industryer2, Lasainraw (aka Isaacwiper) ve fiberlak (fiberlak (aka çiftzero) ile sınırlı değildir.
Sandworm Rus askeri bilgisayar korsanları, önde gelen bir Ukraynalı enerji sağlayıcısının ICS ağını hedeflemek için Industryoyer2 kötü amaçlı yazılımlarını kullandılar, ancak yüksek voltajlı elektrik trafo merkezlerini düşüremedi ve ülke çapında enerji teslimatını bozamadı.
FBI Nukes Rus Yılan Veri Hırsızlığı Kendi Kendini İrtifa Komutu ile Kötü Yazılım
US, İngiltere, Cisco yönlendiricilerinde özel kötü amaçlı yazılım kullanarak Govt Hacker'ları uyarıyor
QBOT kötü amaçlı yazılım, cihazları enfekte etmek için Windows Wordpad exe'yi kötüye kullanır
"Operasyon Magalenha" 30 Portekiz bankasının kimlik bilgilerini hedefliyor
Yeni PowerExchange Kötü Yazılım Backroors Microsoft Exchange Sunucuları
Kaynak: Bleeping Computer