新型工控恶意软件被发现，可利用 ICS 工控通讯协议破坏电网

最近的网络安全观察中，一种旨在渗透和破坏工业环境中的关键系统的新型恶意软件被发现。该恶意软件被命名为 COSMICENERGY，是由俄罗斯安全研究人员于 2021 年 12 月上传到 VirusTotal 公共恶意软件扫描器中，目前没有发现该恶意软件的在野利用。

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理，该恶意软件旨在通过与 IEC 60870-5-104 (IEC-104) 设备（例如远程终端单元 RTU）交互来造成电力中断，这些设备通常用于欧洲、中亚、东亚的输电和配电业务。

COSMICENERGY 恶意软件是 Stuxnet、Havex、Triton、IRONGATE、BlackEnergy2、Industroyer 和 PIPEDREAM 等专用恶意软件的最新成员，这些恶意软件能够破坏关键系统并造成严重破坏。

安全研究人员表示，有间接联系表明它可能是俄罗斯电信公司 Rostelecom-Solar 开发的一种红队工具，用于模拟2021 年 10 月举行的电力中断和应急响应演习。即开发该恶意软件是为了重建针对能源网格资产的真实攻击场景以测试防御，或者是另一方重用了与网络范围相关的代码。

COSMICENERGY 恶意软件的功能可与 Industroyer 相媲美，Industroyer恶意软件被认定归属于俄罗斯支持的 Sandworm 黑客组织，因为它能够利用名为 IEC-104 的工业通信协议向 RTU 发出命令。

华云信安工控安全表示，利用这种访问权限，攻击者可以发送远程命令来影响电力线开关和断路器的启动，从而导致电力中断。这是通过名为 PIEHOP 和 LIGHTWORK 的两个组件实现的，这两个组件分别是用 Python 和 C++ 编写的两个中断工具，用于将 IEC-104 命令传输到连接的工业设备。

工业控制系统 (ICS) 恶意软件的另一个值得注意的方面是缺乏入侵发现功能，这意味着它需要操作员对网络进行内部侦察以确定要作为目标的 IEC-104 设备 IP 地址。

因此，要发起攻击，攻击者必须感染网络中的计算机，找到可以访问 RTU 的 Microsoft SQL Server，并获取其凭据。然后在机器上运行 PIEHOP，将 LIGHTWORK 上传到服务器，服务器通过 TCP 发送破坏性的远程命令来修改设备的状态（开或关）。它还会在发出指令后立即删除可执行文件。

虽然 COSMICENERGY 的功能与以前的 OT 恶意软件家族没有显著差异，但它的发现突出了 OT 威胁领域的几个发展方向。新的 OT 恶意软件的发现对受影响的组织构成了直接威胁，因为这些发现很少见，而且恶意软件主要利用 OT 环境的不安全设计特征，这些特征不太可能很快得到补救。