新OT惡意軟體COSMICENERGY直衝電網而來

近日Mandiant研究人員發現與俄羅斯相關的新OT惡意軟體COSMICENERGY，主要用來破壞關鍵基礎設施中的電力網路。

COSMICENERGY與2016 年發生在烏克蘭基輔的Industroyer電網攻擊事件有相似之處。COSMICENERGY透過與 IEC 60870-5-104 (IEC-104) 標準設備，如: 遠端終端機互通以中斷電力。這些設備通常用於歐洲、中東和亞洲的輸電和配電作業。 2016 年的 Industroyer 攻擊中，由俄羅斯 APT 組織 Sandworm 實施，該惡意軟體發出 IEC-104 ON/OFF 命令與 RTU 互通，並可能利用 MSSQL 伺服器作為管道。攻擊者能夠發送遠端命令來啟動或關閉電力線及斷路器，從而導致電力中斷。
 
Mandiant 表示，Solar Polygon於 2021 年 12 月由俄羅斯的提交者上傳到公共惡意軟體掃描實用程式。最初的用途是用來培訓資安人員，模擬電網的真實攻擊場景。惡意駭客可能重複使用這個程式碼而開發了COSMICENERGY惡意軟體。
 
這使得 COSMICENERGY有別於之前的 OT 惡意軟體，因為威脅行為者正利用之前的攻擊經驗，研發新攻擊工具，降低了攻擊 OT 系統的門檻。
 
因此研究人員警告，有鑒於威脅行為者使用紅隊工具和公共開發框架在野進行針對性的威脅活動，COSMICENERGY可被高度懷疑為對各國電網架構形成合理威脅。採用 IEC-104 標準的OT設備應盡速採取行動。

本文轉載自Mandiant部落格。