2021年12月，一名拥有俄罗斯IP地址的用户向谷歌的病毒扫描服务VirusTotal上传了神秘的恶意软件。据研究，这是一种新的俄罗斯运营技术恶意软件可能会导致欧洲、中东和亚洲的电力中断。该恶意软件-被威胁情报公司Mandiant称为“CosmicEnergy” -通过与电力系统自动化设备（如远程终端单元）交互造成严重破坏。

在周四（25日）发表的研究中，Mandiant表示，承包商可能已将恶意软件开发为红队工具，用于模拟由俄罗斯网络安全公司主持的电力中断演习。Mandiant表示，CosmicEnergy的发现令人担忧，因为它利用了OT环境的不安全设计特征，这些特征不太可能很快得到修复。即使它是针对欧洲、中东和亚洲普遍存在的远程终端单元的模拟攻击的一部分，Mandiant表示其发展表明攻击性OT威胁活动不再局限于资源充足或国家支持的参与者。

Mandiant研究人员写道：“随着攻击者利用先前攻击中的知识开发新的恶意软件，开发攻击性OT功能的门槛正在降低。” “鉴于威胁行为者使用红队工具和公共开发框架在野外进行有针对性的威胁活动，我们认为CosmicEnergy对受影响的电网资产构成了合理的威胁。”

CosmicEnergy如何运作

该恶意软件允许攻击者发送影响电力线开关和断路器操作的远程命令，从而导致电力中断。这种方法类似于2016年的一次利用，该利用似乎利用 Microsoft SQL服务器作为管道系统来访问操作技术。

Mandiant发现，CosmicEnergy的一个组件可以连接到用户提供的远程Microsoft SQL服务器，并远程向远程终端单元发出命令。该恶意软件可以指示远程系统打开或关闭，并在发出命令后立即删除外部中断的证据。

CosmicEnergy的第二个组件通过可配置消息修改远程终端单元的状态，这些消息改变设备是打开还是关闭。为了利用CosmicEnergy，恶意软件操作员需要执行内部侦察以获取Microsoft SQL服务器IP地址、Microsoft SQL凭据和目标远程终端设备IP地址。

研究人员写道：“OT防御者和资产所有者应该对CosmicEnergy采取缓解措施，以抢占野外部署并更好地了解经常部署在OT恶意软件中的常见特性和功能。” “这些知识在执行威胁搜寻练习和部署检测以识别OT环境中的恶意活动时非常有用。”

CosmicEnergy从何而来

CosmicEnergy代码中的评论将其与一家俄罗斯网络安全公司联系起来，该公司在2019年获得政府补贴，用于培训网络安全专家并进行电力中断和应急响应演习。研究人员表示，该恶意软件可能是由俄罗斯网络安全公司或相关方开发的，目的是重现针对能源电网资产的真实攻击场景。

或者，研究人员表示，有可能是不同的参与者——无论是否获得许可——重复使用与2019年训练练习相关的代码来开发CosmicEnergy。威胁行为者经常调整和使用红队工具来促进现实世界的攻击，而民族国家行为者则经常依赖承包商来发展攻击能力。

虽然看起来很可能是Rostelecom-Solar开发了该恶意软件，但Mandiant表示，不排队它是为电网安全演习以外的其他目的而创建的。这种用于测试组织防御的定制软件有些普遍。今年3月，一家名为NTC Vulkan的俄罗斯IT承包商泄露了5,000 多份文件，突显了俄罗斯对实施铁路和管道控制系统的运营技术试验台环境的兴趣。

研究人员写道：“这些观察结果表明，CosmicEnergy是出于恶意开发的，至少它可以用于支持野外有针对性的威胁活动。”

根据Mandiant的说法，CosmicEnergy的功能与过去破坏电力传输和分配的其他恶意软件变体一致。该恶意软件还与使用Python开发或打包的其他病毒株或使用开源库实现OT协议的病毒株有相似之处。

鉴于近年来越来越多地使用Python来开发或打包OT恶意软件，Mandiant预计会继续观察到攻击者以这种方式编译OT恶意软件。开源项目的可用性可以降低攻击者试图与OT设备交互的进入门槛，但Mandian表示专有OT协议可能会继续需要自定义实现。

研究人员写道：“虽然面向OT的恶意软件系列可以专门针对特定目标环境构建，但利用OT协议设计不安全的恶意软件……可以多次修改和使用以针对多个受害者。”

正如微软在2022年4月报道的那样，俄乌战争爆发后，俄罗斯黑客组织部署了许多恶意软件系列（其中一些以前从未在野外出现过）对乌克兰目标（包括关键基础设施）进行破坏性攻击。该列表包括但不限于WhisperGate/WhisperKill、FoxBlade（又名HermeticWiper）、SonicVote（又名HermeticRansom）、CaddyWiper、DesertBlade、Industroyer2、Lasainraw（又名IsaacWiper）和FiberLake（又名DoubleZero）。俄罗斯军方黑客Sandworm使用Industroyer2恶意软件攻击一家著名的乌克兰能源供应商的ICS网络，但未能拆除其高压变电站并中断全国的电力供应。

如何检测和发现CosmicEnergy

研究人员强调，虽然COSMICENERGY的功能与之前的OT恶意软件系列没有显着差异，但它的发现突出了OT威胁领域的几个显着发展。首先，新的OT恶意软件的发现会对受影响的组织构成直接威胁，因为这些发现很少见，而且恶意软件主要利用OT环境的不安全设计特征，这些特征不太可能很快得到补救。其次，由于COSMICENERGY可能是作为红队的一部分开发的，这一发现表明进攻性OT威胁活动的进入壁垒正在降低，因为通常观察到这些类型的能力仅限于资源充足或国家赞助的参与者。最后，Mandiant获得的COSMICENERGY样本可能与红队相关。

出于这些原因，OT防御者和资产所有者应针对COSMICENERGY采取缓解措施，以对抗野外部署并更好地了解OT恶意软件中经常部署的常见特性和功能。在执行威胁搜寻练习和部署检测以识别OT环境中的恶意活动时，此类知识可能很有用。

参考资源

1、https://www.mandiant.com/resources/blog/cosmicenergy-ot-malware-russian-response

2、https://www.govinfosecurity.com/new-russian-ot-malware-could-wreak-havoc-on-electric-systems-a-22166

3、https://therecord.media/cosmicenergy-malware-russia-critical-infrastructure-power-grid

4、https://www.bleepingcomputer.com/news/security/new-russian-linked-cosmicenergy-malware-targets-industrial-systems/

来源：网空闲话plus