亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

2021年12月，一名擁有俄羅斯IP地址的用戶向谷歌的病毒掃描服務VirusTotal上傳了神秘的惡意軟件。據(jù)研究，這是一種新的俄羅斯運營技術(shù)惡意軟件可能會導致歐洲、中東和亞洲的電力中斷。該惡意軟件-被威脅情報公司Mandiant稱為“CosmicEnergy” -通過與電力系統(tǒng)自動化設備（如遠程終端單元）交互造成嚴重破壞。

在周四（25日）發(fā)表的研究中，Mandiant表示，承包商可能已將惡意軟件開發(fā)為紅隊工具，用于模擬由俄羅斯網(wǎng)絡安全公司主持的電力中斷演習。Mandiant表示，CosmicEnergy的發(fā)現(xiàn)令人擔憂，因為它利用了OT環(huán)境的不安全設計特征，這些特征不太可能很快得到修復。即使它是針對歐洲、中東和亞洲普遍存在的遠程終端單元的模擬攻擊的一部分，Mandiant表示其發(fā)展表明攻擊性OT威脅活動不再局限于資源充足或國家支持的參與者。

Mandiant研究人員寫道：“隨著攻擊者利用先前攻擊中的知識開發(fā)新的惡意軟件，開發(fā)攻擊性OT功能的門檻正在降低?！?“鑒于威脅行為者使用紅隊工具和公共開發(fā)框架在野外進行有針對性的威脅活動，我們認為CosmicEnergy對受影響的電網(wǎng)資產(chǎn)構(gòu)成了合理的威脅?！?/p>

CosmicEnergy如何運作

該惡意軟件允許攻擊者發(fā)送影響電力線開關(guān)和斷路器操作的遠程命令，從而導致電力中斷。這種方法類似于2016年的一次利用，該利用似乎利用 Microsoft SQL服務器作為管道系統(tǒng)來訪問操作技術(shù)。

Mandiant發(fā)現(xiàn)，CosmicEnergy的一個組件可以連接到用戶提供的遠程Microsoft SQL服務器，并遠程向遠程終端單元發(fā)出命令。該惡意軟件可以指示遠程系統(tǒng)打開或關(guān)閉，并在發(fā)出命令后立即刪除外部中斷的證據(jù)。

CosmicEnergy的第二個組件通過可配置消息修改遠程終端單元的狀態(tài)，這些消息改變設備是打開還是關(guān)閉。為了利用CosmicEnergy，惡意軟件操作員需要執(zhí)行內(nèi)部偵察以獲取Microsoft SQL服務器IP地址、Microsoft SQL憑據(jù)和目標遠程終端設備IP地址。

研究人員寫道：“OT防御者和資產(chǎn)所有者應該對CosmicEnergy采取緩解措施，以搶占野外部署并更好地了解經(jīng)常部署在OT惡意軟件中的常見特性和功能。” “這些知識在執(zhí)行威脅搜尋練習和部署檢測以識別OT環(huán)境中的惡意活動時非常有用?！?/p>

CosmicEnergy從何而來

CosmicEnergy代碼中的評論將其與一家俄羅斯網(wǎng)絡安全公司聯(lián)系起來，該公司在2019年獲得政府補貼，用于培訓網(wǎng)絡安全專家并進行電力中斷和應急響應演習。研究人員表示，該惡意軟件可能是由俄羅斯網(wǎng)絡安全公司或相關(guān)方開發(fā)的，目的是重現(xiàn)針對能源電網(wǎng)資產(chǎn)的真實攻擊場景。

或者，研究人員表示，有可能是不同的參與者——無論是否獲得許可——重復使用與2019年訓練練習相關(guān)的代碼來開發(fā)CosmicEnergy。威脅行為者經(jīng)常調(diào)整和使用紅隊工具來促進現(xiàn)實世界的攻擊，而民族國家行為者則經(jīng)常依賴承包商來發(fā)展攻擊能力。

雖然看起來很可能是Rostelecom-Solar開發(fā)了該惡意軟件，但Mandiant表示，不排隊它是為電網(wǎng)安全演習以外的其他目的而創(chuàng)建的。這種用于測試組織防御的定制軟件有些普遍。今年3月，一家名為NTC Vulkan的俄羅斯IT承包商泄露了5,000 多份文件，突顯了俄羅斯對實施鐵路和管道控制系統(tǒng)的運營技術(shù)試驗臺環(huán)境的興趣。

研究人員寫道：“這些觀察結(jié)果表明，CosmicEnergy是出于惡意開發(fā)的，至少它可以用于支持野外有針對性的威脅活動。”

根據(jù)Mandiant的說法，CosmicEnergy的功能與過去破壞電力傳輸和分配的其他惡意軟件變體一致。該惡意軟件還與使用Python開發(fā)或打包的其他病毒株或使用開源庫實現(xiàn)OT協(xié)議的病毒株有相似之處。

鑒于近年來越來越多地使用Python來開發(fā)或打包OT惡意軟件，Mandiant預計會繼續(xù)觀察到攻擊者以這種方式編譯OT惡意軟件。開源項目的可用性可以降低攻擊者試圖與OT設備交互的進入門檻，但Mandian表示專有OT協(xié)議可能會繼續(xù)需要自定義實現(xiàn)。

研究人員寫道：“雖然面向OT的惡意軟件系列可以專門針對特定目標環(huán)境構(gòu)建，但利用OT協(xié)議設計不安全的惡意軟件……可以多次修改和使用以針對多個受害者。”

正如微軟在2022年4月報道的那樣，俄烏戰(zhàn)爭爆發(fā)后，俄羅斯黑客組織部署了許多惡意軟件系列（其中一些以前從未在野外出現(xiàn)過）對烏克蘭目標（包括關(guān)鍵基礎(chǔ)設施）進行破壞性攻擊。該列表包括但不限于WhisperGate/WhisperKill、FoxBlade（又名HermeticWiper）、SonicVote（又名HermeticRansom）、CaddyWiper、DesertBlade、Industroyer2、Lasainraw（又名IsaacWiper）和FiberLake（又名DoubleZero）。俄羅斯軍方黑客Sandworm使用Industroyer2惡意軟件攻擊一家著名的烏克蘭能源供應商的ICS網(wǎng)絡，但未能拆除其高壓變電站并中斷全國的電力供應。

如何檢測和發(fā)現(xiàn)CosmicEnergy

研究人員強調(diào)，雖然COSMICENERGY的功能與之前的OT惡意軟件系列沒有顯著差異，但它的發(fā)現(xiàn)突出了OT威脅領(lǐng)域的幾個顯著發(fā)展。首先，新的OT惡意軟件的發(fā)現(xiàn)會對受影響的組織構(gòu)成直接威脅，因為這些發(fā)現(xiàn)很少見，而且惡意軟件主要利用OT環(huán)境的不安全設計特征，這些特征不太可能很快得到補救。其次，由于COSMICENERGY可能是作為紅隊的一部分開發(fā)的，這一發(fā)現(xiàn)表明進攻性OT威脅活動的進入壁壘正在降低，因為通常觀察到這些類型的能力僅限于資源充足或國家贊助的參與者。最后，Mandiant獲得的COSMICENERGY樣本可能與紅隊相關(guān)。

出于這些原因，OT防御者和資產(chǎn)所有者應針對COSMICENERGY采取緩解措施，以對抗野外部署并更好地了解OT惡意軟件中經(jīng)常部署的常見特性和功能。在執(zhí)行威脅搜尋練習和部署檢測以識別OT環(huán)境中的惡意活動時，此類知識可能很有用。

參考資源

1、https://www.mandiant.com/resources/blog/cosmicenergy-ot-malware-russian-response

2、https://www.govinfosecurity.com/new-russian-ot-malware-could-wreak-havoc-on-electric-systems-a-22166

3、https://therecord.media/cosmicenergy-malware-russia-critical-infrastructure-power-grid

4、https://www.bleepingcomputer.com/news/security/new-russian-linked-cosmicenergy-malware-targets-industrial-systems/

來源：網(wǎng)空閑話plus