最近的網絡安全觀察中，一種旨在滲透和破壞工業(yè)環(huán)境中的關鍵系統(tǒng)的新型惡意軟件被發(fā)現(xiàn)。該惡意軟件被命名為 COSMICENERGY，是由俄羅斯安全研究人員于 2021 年 12 月上傳到 VirusTotal 公共惡意軟件掃描器中，目前沒有發(fā)現(xiàn)該惡意軟件的在野利用。

根據中國網絡安全行業(yè)門戶極牛網(GeekNB.com)的梳理，該惡意軟件旨在通過與 IEC 60870-5-104 (IEC-104) 設備（例如遠程終端單元 RTU）交互來造成電力中斷，這些設備通常用于歐洲、中亞、東亞的輸電和配電業(yè)務。

COSMICENERGY 惡意軟件是 Stuxnet、Havex、Triton、IRONGATE、BlackEnergy2、Industroyer 和 PIPEDREAM 等專用惡意軟件的最新成員，這些惡意軟件能夠破壞關鍵系統(tǒng)并造成嚴重破壞。

安全研究人員表示，有間接聯(lián)系表明它可能是俄羅斯電信公司 Rostelecom-Solar 開發(fā)的一種紅隊工具，用于模擬2021 年 10 月舉行的電力中斷和應急響應演習。即開發(fā)該惡意軟件是為了重建針對能源網格資產的真實攻擊場景以測試防御，或者是另一方重用了與網絡范圍相關的代碼。

COSMICENERGY 惡意軟件的功能可與 Industroyer 相媲美，Industroyer惡意軟件被認定歸屬于俄羅斯支持的 Sandworm 黑客組織，因為它能夠利用名為 IEC-104 的工業(yè)通信協(xié)議向 RTU 發(fā)出命令。

華云信安工控安全表示，利用這種訪問權限，攻擊者可以發(fā)送遠程命令來影響電力線開關和斷路器的啟動，從而導致電力中斷。這是通過名為 PIEHOP 和 LIGHTWORK 的兩個組件實現(xiàn)的，這兩個組件分別是用 Python 和 C++ 編寫的兩個中斷工具，用于將 IEC-104 命令傳輸到連接的工業(yè)設備。

工業(yè)控制系統(tǒng) (ICS) 惡意軟件的另一個值得注意的方面是缺乏入侵發(fā)現(xiàn)功能，這意味著它需要操作員對網絡進行內部偵察以確定要作為目標的 IEC-104 設備 IP 地址。

因此，要發(fā)起攻擊，攻擊者必須感染網絡中的計算機，找到可以訪問 RTU 的 Microsoft SQL Server，并獲取其憑據。然后在機器上運行 PIEHOP，將 LIGHTWORK 上傳到服務器，服務器通過 TCP 發(fā)送破壞性的遠程命令來修改設備的狀態(tài)（開或關）。它還會在發(fā)出指令后立即刪除可執(zhí)行文件。

雖然 COSMICENERGY 的功能與以前的 OT 惡意軟件家族沒有顯著差異，但它的發(fā)現(xiàn)突出了 OT 威脅領域的幾個發(fā)展方向。新的 OT 惡意軟件的發(fā)現(xiàn)對受影響的組織構成了直接威脅，因為這些發(fā)現(xiàn)很少見，而且惡意軟件主要利用 OT 環(huán)境的不安全設計特征，這些特征不太可能很快得到補救。