CosmicEnergy – neue Malware

Sicherheitsforscher haben eine neue Malware mit dem Namen CosmicEnergy entdeckt, die auf die Störung von Industriesystemen abzielt. Die Malware richtet sich speziell gegen IEC-104-konforme Remote-Terminal-Units (RTUs), die üblicherweise in der Stromübertragung und -verteilung in Europa, im Nahen Osten und in Asien eingesetzt werden. CosmicEnergy wurde vermutlich als Red-Team-Tool für simulierte Stromausfallübungen in Russland entwickelt.

CosmicEnergy wurde entdeckt, nachdem über eine russische IP-Adresse eine Code-Probe auf die Malware-Analyseplattform VirusTotal hochgeladen wurde. Die Analyse dieses Malware-Samples offenbarte mehrere bemerkenswerte Aspekte zu CosmicEnergy und seiner Funktionsweise. So weist die Malware Ähnlichkeiten mit früherer OT-Malware wie Industroyer und Industroyer.V2 auf. Beide wurden bei Angriffen auf ukrainische Energieversorger im Dezember 2016 und April 2022 eingesetzt. 

Genau wie Industroyer verschafft sich CosmicEnergy wahrscheinlich über kompromittierte MSSQL-Server mit dem Störungstool Piehop Zugang zu den OT-Systemen des Ziels. Sobald die Angreifer in das Netzwerk des Opfers eingedrungen sind, können sie die RTUs fernsteuern. Dabei wird das bösartige Tool Lightwork eingesetzt, um IEC-104-Befehle zum Ein- oder Ausschalten zu erteilen.

Angesichts der Tatsache, dass Bedrohungsakteure Red-Team-Tools und öffentliche Exploitation-Frameworks für gezielte Aktivitäten nutzen, kann CosmicEnergy eine plausible Bedrohung für Stromnetzanlagen in Europa darstellen.

Die CSBW weist auf die allgemeinen Handlungsempfehlungen der IT-Sicherheit hin. Zusätzlich sollten die Indikatoren (IoCs) beachtet und ggf. gesperrt werden.