COSMICENERGY: ロシアの緊急事態対応演習に関連する可能性のある新しい OT マルウェア

Mandiant は、2021 年 12 月にロシアの提出者によって公的マルウェア スキャン ユーティリティにアップロードされた、COSMICENERGY として追跡している新しい運用技術 (OT) / 産業用制御システム (ICS) 指向のマルウェアを特定しました。 このマルウェアは、ヨーロッパや中東の送電および配電業務で一般的に利用されているリモート端末装置 (RTU) などの IEC 60870-5-104 (IEC-104) デバイスと相互作用することによって電力障害を引き起こすように設計されています。 、そしてアジア。

COSMICENERGY は、サイバー物理的影響を引き起こす可能性がある特殊な OT マルウェアの最新の例ですが、これはめったに発見されず、公開されません。 COSMICENERGY の特徴は、私たちの分析に基づくと、ロシアのサイバー セキュリティ会社 Rostelecom-Solar が主催する停電模擬演習用のレッド チーム ツールとして請負業者が開発した可能性があることです。 このマルウェアとその機能を分析した結果、その機能は、INDUSTROYER や INDUSTROYER.V2 など、以前のインシデントやマルウェアで使用されたものと同等であることが明らかになりました。これらはどちらも、IEC-104 を介した送電と配電に影響を与えるために過去に導入されたマルウェアの亜種でした。

COSMICENERGY の発見は、攻撃者が以前の攻撃からの知識を活用して新しいマルウェアを開発するにつれて、攻撃的な OT 機能の開発への参入障壁が低くなっているということを示しています。 脅威アクターがレッド チーム ツールや公共の悪用フレームワークを使用して、実際の標的型脅威活動を行っていることを考えると、COSMICENERGY が影響を受ける電力網資産に対してもっともらしい脅威をもたらすと考えられます。 IEC-104 準拠のデバイスを利用している OT 資産所有者は、COSMICENERGY の野生展開の可能性を先取りするための措置を講じる必要があります。

COSMICENERGY の機能と全体的な攻撃戦略は、2016 年の INDUSTROYER 事件を彷彿とさせます。この事件では、RTU と対話するために IEC-104 ON/OFF コマンドが発行され、ある分析によると、OT にアクセスするための導管システムとして MSSQL サーバーが使用されていた可能性があります。 このアクセスを利用して、攻撃者はリモート コマンドを送信して、電力線スイッチや回路ブレーカーの作動に影響を与え、停電を引き起こすことができます。 COSMICENERGY は、PIEHOP と LIGHTWORK として追跡する 2 つの派生コンポーネントを通じてこれを実現します (技術分析については付録を参照)。

COSMICENERGY には検出機能がありません。これは、マルウェア オペレーターが攻撃を成功させるためには、MSSQL サーバーの IP アドレス、MSSQL 資格情報、ターゲット IEC-104 デバイスの IP アドレスなどの環境情報を取得するために内部偵察を実行する必要があることを意味します。 私たちが入手した LIGHTWORK のサンプルには、ハードコーディングされた 8 つの IEC-104 情報オブジェクト アドレス (IOA) が含まれています。これらは通常、デバイスの入力または出力データ要素と相関しており、RTU またはリレー構成の電力線スイッチまたは回路ブレーカーに対応する場合があります。 ただし、IOA マッピングはメーカー、デバイス、さらには環境によって異なることがよくあります。 このため、攻撃者が意図する特定のアクションは、対象となる資産に関する知識がなければ不明です。

COSMICENERGY の分析中に、サンプルが「Solar Polygon」という名前のプロジェクトに関連付けられたモジュールを使用していることを示すコード内のコメントを特定しました (図 2)。 私たちは一意の文字列を検索し、Rostelecom-Solar が開発したサイバー レンジ (別名ポリゴン) との単一の一致を特定しました。Rostelecom-Solar は、2019 年に政府の補助金を受けてサイバー セキュリティ専門家のトレーニングを開始し、電力中断と緊急事態の実施を開始したロシアのサイバー セキュリティ会社です。対応訓練。

COSMICENERGY の起源や目的を特定する十分な証拠は特定されていませんが、このマルウェアはエネルギー グリッド資産に対する実際の攻撃シナリオを再現するために Rostelecom-Solar または関連当事者によって開発された可能性があると考えられます。 このマルウェアは、2021年にロシアエネルギー省と協力してロステレコム・ソーラーが主催した演習や、2022年にサンクトペテルブルクの国際経済フォーラム（SPIEF）向けに主催した演習などを支援するために使用された可能性がある。

しかし、決定的な証拠が不足していることを考慮すると、許可の有無にかかわらず、別の攻撃者がサイバー範囲に関連するコードを再利用してこのマルウェアを開発した可能性もあると考えています。 脅威アクターは、商用および公開されているエクスプロイト フレームワークなどのレッド チーム ツールを定期的に適応させて利用し、TRITON 攻撃中に TEMP.Veles が METERPRETER を使用したように、現実世界の攻撃を促進します。 また、最近ではロシア国防省とNTC Vulkanとの間の契約で示されているように、国家主体が攻撃能力を開発するために請負業者を活用している例も数多くある。 これらの観察により、COSMICENERGY が悪意を持って開発された可能性が残されており、少なくとも、実際の標的型脅威活動をサポートするために使用できる可能性があります。

COSMICENERGY は、これまでに観察されたマルウェア ファミリと直接重複するものではありませんが、その機能は以前のインシデントやマルウェアで使用されたものと同等です。 私たちが特定した最も重要な類似点は、INDUSTROYER と INDUSTROYER.V2 です。これらはどちらも、送電と配電に影響を与えるために過去に展開されたマルウェアの亜種です。 COSMICENERGY には、Python を使用して開発またはパッケージ化された他の OT マルウェア ファミリ、または IRONGATE、TRITON、INCONTROLLER などの OT プロトコル実装にオープンソース ライブラリを利用した他の OT マルウェア ファミリとの顕著な技術的類似点もあります。 これらの類似性のさらなる分析は、Mandiant Advantage から入手できます。

これらの類似点に関して、将来の OT マルウェアに現れる可能性のある次の傾向を強調します。

COSMICENERGY の機能は以前の OT マルウェア ファミリと大きな違いはありませんが、その発見は OT 脅威の状況におけるいくつかの注目すべき発展を浮き彫りにしています。 まず、新しい OT マルウェアの発見は、影響を受ける組織にとって差し迫った脅威となります。これは、このような発見はまれであり、マルウェアは主に、すぐに修復される可能性が低い OT 環境の設計上の安全性の低い機能を利用するためです。 第二に、COSMICENERGY はレッドチームの一部として開発された可能性があるため、この種の機能は通常、十分なリソースを持っている、または国の支援を受けた主体に限定されていることが観察されているため、この発見は攻撃的な OT 脅威活動に対する参入障壁が下がっていることを示唆しています。 最後に、私たちが入手した COSMICENERGY のサンプルはレッド チームに関連している可能性がありますが、脅威アクターは OT 攻撃時を含む現実世界の脅威活動において請負業者やレッド チーム ツールを定期的に利用していることを強調します。

これらの理由から、OT の防御者と資産所有者は、COSMICENERGY に対する緩和策を講じて、実際の展開を先制し、OT マルウェアに頻繁に展開される共通の機能と機能をよりよく理解する必要があります。 このような知識は、脅威ハンティングの演習を実行したり、OT 環境内の悪意のあるアクティビティを特定するための検出を展開したりするときに役立ちます。

関連アクティビティに対応するサポートが必要な場合は、Mandiant Consulting までお問い合わせください。 COSMICENERGY のさらなる分析は、Mandiant Advantage Threat Intelligence の一部として利用できます。

当社は、リスクにさらされている組織に、ツールセットから派生して実装された戦術、技術、および手順 (TTP) の脅威ハンティングを実行するための次の検出方法を提供します。

ファイル名

説明

ハッシュ

r3_iec104_control.exe

PIEHOP PyInstaller 実行可能ファイル

MD5: cd8f394652db3d0376ba24a990403d20

SHA1: bc07686b422aa0dd01c87ccf557863ee62f6a435

SHA256: 358f0f8c23acea82c5f75d6a2de37b6bea7785ed0e32c41109c217c48bf16010

r3_iec104_control

PIEHOP Python でコンパイルされたバイトコード エントリ ポイント

MD5: f716b30fc3d71d5e8678cc6b81811db4

SHA1: e91e4df49afa628fba1691b7c668af64ed6b0e1d

SHA256: 7dc25602983f7c5c3c4e81eeb1f2426587b6c1dc6627f20d51007beac840ea2b

r3_iec104_control.py

逆コンパイルされた PIEHOP エントリ ポイントの Python スクリプト

MD5: c018c54eff8fd0b9be50b5d419d80f21

SHA1: 4d7c4bc20e8c392ede2cb0cef787fe007265973b

SHA256: 8933477e82202de97fb41f4cbbe6af32596cec70b5b47da022046981c01506a7

iec104_mssql_lib.pyc

PIEHOP Python でコンパイルされたバイトコード

MD5: adfa40d44a58e1bc909abca444f7f616

SHA1: a9b5b16769f604947b9d8262841aa3082f7d71a2

SHA256: 182d6f5821a04028fe4b603984b4d33574b7824105142b722e318717a688969e

iec104_mssql_lib.py

逆コンパイルされた PIEHOP Python スクリプト

MD5: 2b86adb6afdfa9216ef8ec2ff4fd2558

SHA1: 20c9c04a6f8b95d2f0ce596dac226d56be519571

SHA256: 90d96bb2aa2414a0262d38cc805122776a9405efece70beeebf3f0bcfc364c2d

OT_T855_IEC104_GR.exe

LIGHTWORK実行可能ファイル

MD5: 7b6678a1c0000344f4faf975c0cfc43d

SHA1: 6eceb78acd1066294d72fe86ed57bf43bc6de6eb

SHA256: 740e0d2fba550308344b2fb0e5ecfebdd09329bdcfaa909d3357ad4fe5552532

PIEHOP (ファイル名: r3_iec104_control.exe) (MD5: cd8f394652db3d0376ba24a990403d20) は、Python で書かれ、PyInstaller バージョン 2.1 以降にパッケージ化されている中断ツールです。これは、ユーザーが指定したリモート MSSQL サーバーに接続してファイルをアップロードし、RTU にリモート コマンドを発行する機能を備えています。 。

PIEHOP は、引数 control=True または Upload=True を指定して、メイン関数が別の Python ファイル経由で呼び出されることを期待します。 少なくとも次の引数が必要です: oik、user、および pwd。control=True を指定して呼び出された場合は、iec104 も指定する必要があります。

分析されたサンプルでは、​​PIEHOP のエントリ ポイント c018c54eff8fd0b9be50b5d419d80f21 (r3_iec104_control.py) が、引数 control=True を指定して PIEHOP の main 関数を呼び出します。 ファイル c018c54eff8fd0b9be50b5d419d80f21 (r3_iec104_control.py) は、「iec104_mssql_lib」モジュールをインポートします。これは、抽出されたコンテンツ内に adfa40d44a58e1bc909abca444f7f616 (iec104_mssql_lib.pyc) として含まれています。

2b86adb6afdfa9216ef8ec2ff4fd2558 (iec104_mssql_lib.py) は PIEHOP の主要な機能を実装しており、含まれるコードに対して開発者が提供したコメントが多数含まれています。 特に、main 関数にはロジック上の欠陥があり、MSSQL サーバーに接続して OT_T855_IEC104_GR.exe (LIGHTWORK) をアップロードすることしかできず、すぐに自身をクリーンアップしようとします。

正しく実装されている場合、PIEHOP はユーザーが指定したリモート MSSQL サーバーに接続して、LIGHTWORK をアップロードし、特に RTU を対象としたリモート コマンドを発行してから、それ自体を削除できます。 PIEHOP は、LIGHTWORK を利用してリモート システム上で IEC-104 コマンド「ON」または「OFF」を実行し、コマンド発行後すぐに実行可能ファイルを削除します。

LIGHTWORK (ファイル名: OT_T855_IEC104_GR.exe) (MD5: 7b6678a1c0000344f4faf975c0cfc43d) は、TCP 経由で RTU の状態を変更するための IEC-104 プロトコルを実装する、C++ で書かれた中断ツールです。 構成可能な IEC-104 ASDU メッセージを作成して、RTU IOA の状態を ON または OFF に変更します。 このサンプルは、実行を設定する PIEHOP と連携して動作します。 LIGHTWORK は次の位置コマンドライン引数を受け取ります。

実行すると、LIGHTWORK は、指定されたターゲット ステーションに「C_IC_NA_1 – ステーション問い合わせコマンド」を送信して、ターゲット ステーションのステータスを取得することから始まります。 次に、ハードコードされた各 IOA に「C_SC_NA_1 – 単一コマンド」を送信して、ターゲット ステーションの IOA の状態 (オフまたはオン) を変更します。 最後に、単一の「C_CS_NA_1 – クロック同期コマンド」をターゲット ステーションに送信します。これにより、リモート ステーションのタイム クロックが、コマンドを発行するデバイスのタイム クロックと同期されます。

正常に実行されると、LIGHTWORK はオペレーターに次のコマンドライン出力を提供します。

ルール M_Hunting_PyInstaller_PIEHOP_Module_Strings

{

メタ:

著者＝「マンディアント」

日付 = "2023-04-11"

description = "PIEHOP に関連付けられたカスタム Python スクリプト/モジュールを含む PyInstaller ファイルを検索します。"

文字列:

$lib = "iec104_mssql_lib" ascii

状態：

uint16(0) == 0x5A4D および uint32(uint32(0x3C)) == 0x00004550 および

$lib

}

ルール M_Hunting_Disrupt_LIGHTWORK_Strings

{

メタ:

著者＝「マンディアント」

description = "LIGHTWORK で使用される IEC-104 に関連する文字列を検索します。"

日付 = "2023-04-19"

文字列:

$s1 = "接続先: %s:%i\n" ASCII ワイド nocase

$s2 = "接続されました!" アスキーワイドノーケース

$s3 = "送信制御コマンド C_SC_NA_1" ascii ワイド nocase

$s4 = "接続に失敗しました!" アスキーワイドノーケース

$s5 = "時刻同期コマンドの送信" ascii ワイド nocase

$s6 = "待ってください..." ascii ワイド nocase

$s7 = "exit 0" ascii ワイド nocase

状態：

ファイルサイズ < 5MB および

uint16(0) == 0x5A4D および uint32(uint32(0x3C)) == 0x00004550 および

それらすべて

}

T1140: ファイルまたは情報の難読化解除/デコード

攻撃者は、難読化されたファイルまたは情報を使用して、侵入のアーティファクトを分析から隠す可能性があります。 使用目的に応じて、その情報をデコードまたは難読化解除するための別のメカニズムが必要になる場合があります。 これを行う方法には、マルウェアの組み込み機能、またはシステム上に存在するユーティリティを使用する方法が含まれます。

T0807: コマンドライン インターフェイス

攻撃者はコマンドライン インターフェイス (CLI) を利用してシステムと対話し、コマンドを実行する可能性があります。 CLI は、コンピュータ システムと対話する手段を提供し、制御システム環境内のさまざまな種類のプラットフォームやデバイスに共通の機能です。 攻撃者は、CLI を使用して、操作中にインストールされる可能性のある悪意のあるツールなどの新しいソフトウェアをインストールして実行することもあります。

T0809: データ破壊

敵対者は、操作の過程でデータ破壊を実行する可能性があります。 攻撃者はこれを実行するために、ターゲット システム上にマルウェア、ツール、またはその他の非ネイティブ ファイルをドロップまたは作成し、悪意のある活動の痕跡を残す可能性があります。 このような非ネイティブ ファイルやその他のデータは、小さなフットプリントを維持するために、または侵入後のクリーンアップ プロセスの標準部分として、侵入中に削除されることがあります。

T0831: コントロールの操作

攻撃者は産業環境内の物理的なプロセス制御を操作する可能性があります。 制御を操作する方法には、ポイント値、タグ、またはその他のパラメーターを設定する変更が含まれます。 敵対者は、制御システム デバイスを操作したり、場合によっては自身のデバイスを利用して、物理的な制御プロセスと通信したり命令したりする可能性があります。 操作の継続時間は、オペレーターの検出に応じて、一時的な場合もあれば、長期間持続する場合もあります。

T0855: 不正なコマンド メッセージ

攻撃者は、不正なコマンド メッセージを送信して、制御システム資産に、意図した機能の範囲外のアクションを実行するよう指示したり、期待される機能をトリガーするための論理的な前提条件を持たずにアクションを実行したりする可能性があります。 コマンド メッセージは、ICS ネットワークで制御システム デバイスに直接指示を与えるために使用されます。 敵対者が無許可のコマンド メッセージを制御システムに送信できる場合、制御システム デバイスに、デバイスの動作の通常の範囲を超えた動作を実行するよう指示することができます。 攻撃者は、制御システム デバイスに影響を引き起こすアクションを実行するよう指示する可能性があります。

RSSフィードへのリンク

Mandiant の専門家があなたの質問にお答えします。