Dünyanın en tehlikeli endüstriyel kötü amaçlı yazılımlarından bazılarıyla paralellik gösteren endüstriyel makineleri kapatabilen (veya açabilen) bir Rus yazılımının VirusTotal’da (VT) herkesin gözü önünde boşta durduğu tespit edildi.
Mandiant’tan araştırmacılar kısa bir süre önce “CosmicEnergy”yi fark etti ve bunun Aralık 2021’de bir Rus kullanıcı tarafından yüklendiğini belirtti. güç kesintisi kırmızı takım tatbikatı Rus siber güvenlik şirketi Rostelecom-Solar tarafından barındırılıyor.
Araştırmacılar, “İzinli veya izinsiz farklı bir aktörün bu kötü amaçlı yazılımı geliştirmek için siber alanla ilişkili kodu yeniden kullanmasının mümkün olduğunu düşünüyoruz.” 25 Mayıs’ta bir blog yazısı.
Herhangi bir sıradan VT örneğinden veya red-team aracından çok uzakta olan CosmicEnergy, uzak terminal birimi (RTU) adı verilen bir tür endüstriyel kontrol cihazını manipüle etme yeteneği sayesinde “etkilenen elektrik şebekesi varlıkları için makul bir tehdit oluşturuyor” diye açıkladılar.
Bir RTU, endüstriyel makineler ve bunların kontrol sistemleri arasında arayüz oluşturmak için telemetri kullanan özel bir endüstriyel kontrolör türüdür. İşlevi nispeten basittir – verileri alır ve analiz için iletir – ancak en önemlisi, otomatik endüstriyel süreçleri açıp kapatabilir.
CosmicEnergy birçok yönden, bir elektrik şebekesini çökertmek için tasarlanmış ilk kötü amaçlı yazılım olan Industroyer’dan sonra modellenmiştir; özellikle de Industroyer’ın geçen yıl Ukrayna’ya yönelik bir saldırıda Rus gelişmiş kalıcı tehdit (APT) Sandworm tarafından konuşlandırılan en yeni varyantı. Araştırmacılar ayrıca, Irongate, Ironcontroller ve Triton/Trisis gibi endüstriyel ağlara dokunan diğer en şeytani programlardan bazılarına da benzettiler.
CosmicEnergy, Google Cloud’da Mandiant analiz yöneticisi olan Daniel Kapellmann Zafra’ya, kinetik hasar için tasarlanmış kötü amaçlı yazılımların ne kadar ulaşılabilir olabileceğini gösteriyor. “Nasıl yapılacağını zaten öğrendiler; onu çok endişe verici kılan da bu” diyor.
CosmicEnergy Kötü Amaçlı Yazılımı Hakkında Bilinmesi Gerekenler
CosmicEnergy kullanan bir saldırgan, yalnızca bir güç hattı anahtarını veya devre kesiciyi açma komutu göndererek güç kesintisine neden olabilir. Bunu iki bileşenle gerçekleştirir.
İlk olarak, PieHop, saldırgan tarafından kontrol edilen bir MSSQL sunucusunu hedeflenen bir endüstriyel tesisteki bir RTU’ya bağlayan Python tabanlı bir araçtır.
PieHop daha sonra, bir RTU’nun geçiş yeteneklerinden yararlanmak için C++ tabanlı bir araç olan ikinci bileşen olan Lightwork’ü kullanır ve yürütülebilir dosyayı hedeflenen sistemden silmeden önce RTU’nun durumunu değiştirir.
Araştırmacılar, “elde ettiğimiz PieHop örneğinin, IEC-104 kontrol yeteneklerini başarılı bir şekilde gerçekleştirmesini engelleyen programlama mantığı hataları içerdiğini” not ettiler, ancak “bu hataların kolayca düzeltilebileceğine inanıyoruz” dedi.
Endüstriyel RTU’lar Tasarımları gereği Güvensizdir
Dışarıdan bakıldığında, hassas endüstriyel süreçleri kontrol eden bir cihazın tepeden tırnağa güvenlikle silahlandırılacağı varsayılabilir. Ama bu gerçeklerden daha fazla olamazdı.
Mandiant’tan Kapellmann Zafra, RTU ve benzeri denetleyiciler için “Çoğu zaman bu noktada ek güvenlik yoktur” diyor. “OT’de gördüğümüz son kötü amaçlı yazılım ailelerinin açık protokollerden yararlanmaları bir trend.”
RTU’lar, adlandırılan ve popüler hale getirilen “tasarım gereği güvensiz” fenomeninin kurbanıdır. on yıldan fazla bir süre önce endüstriyel güvenlik etkileyicisi Dale Peterson tarafından. Kısaca fikir, endüstriyel makinelerin genellikle yaş, karmaşıklık ve diğer faktörler nedeniyle güvenlik göz önünde bulundurulmadan güvenilir ortamlarda çalışacak şekilde tasarlanmasıdır. Çoğu zaman, özellikleri — kılavuzlarında ayrıntılı olarak açıklanan işlevler — güvenlik bağlamında güvenlik açıkları olarak yorumlanabilir.
BT’ye alışmış herhangi biri için, örneğin, RTU’ların gelen veya giden veri akışlarına temel şifreleme bile uygulamadığı kulağa geriye dönük gelecektir. Kapellmann Zafra’nın açıkladığı gibi, “geleneksel bir BT perspektifinden verilerle çalışırken, gerçekten emin olmak istediğiniz şey, hiç kimsenin verilere erişemeyeceğidir. Ancak, OT güvenliği söz konusu olduğunda, bu veriler Yani sizin en çok önemsediğiniz şey, bu veri parçasının amacını gerçekleştirmesi ve sürecinizin olması gerektiği gibi işlemeye devam etmesi.”
Yani totem direğinde veri güvenliği, güvenlik ve güvenilirliğe göre daha düşüktür. Araştırmacı, “OT açısından bakıldığında öncelikler farklıdır ve buna dayanarak siber-fiziksel bir sürece müdahale edebilecek güvenlik kontrolleri uygulamıyoruz” diyor.
CosmicEnergy’ye karşı savunma yapan bu kritik cihazlara karşı çok açık olduğu için — veya Industroyer veya Triton, bu konuda — düşünme ve proaktiflik gerektirir. Kapellmann Zafra, “Her türlü farklı güvenlik çözümüne sahip olmak kadar basit değil” diyor.
Tespiti anahtar olarak vurguluyor. “Çünkü kötü amaçlı yazılım için kurallarımız ve IoC’lerimiz olmasına rağmen, bu tür uygulamalarda gördüğümüz şey, çoğu zaman bir kuralı öylece çalıştırıp onu bulmanızı bekleyemeyeceğinizdir. beklenmeyen davranışlar için gözünü dört aç.”
