Οι ερευνητές ασφαλείας της Mandiant ανακάλυψαν ένα νέο κακόβουλο λογισμικό, με την ονομασία CosmicEnergy, το οποίο έχει σχεδιαστεί για να διαταράσσει τα βιομηχανικά συστήματα και συνδέεται με τη ρωσική εταιρεία κυβερνοασφάλειας Rostelecom-Solar (πρώην Solar Security).
Δείτε επίσης: Buhti ransomware: Xρησιμοποιεί leaked κώδικα για Windows, Linux
Το malware στοχεύει συγκεκριμένα απομακρυσμένες τερματικές μονάδες (RTU) συμβατές με το IEC-104 που χρησιμοποιούνται συνήθως σε εργασίες μεταφοράς και διανομής ηλεκτρικής ενέργειας σε όλη την Ευρώπη, τη Μέση Ανατολή και την Ασία.
Δείτε επίσης: Τεχνική ανάλυση του Spyware PREDATOR της Intellexa
Το CosmicEnergy ανακαλύφθηκε μετά τη μεταφόρτωση ενός δείγματος στην πλατφόρμα ανάλυσης κακόβουλου λογισμικού VirusTotal τον Δεκέμβριο του 2021 από κάποιον με ρωσική διεύθυνση IP.
Η ανάλυση του δείγματος κακόβουλου λογισμικού που διέρρευσε έχει αποκαλύψει αρκετές αξιοσημείωτες πτυχές σχετικά με το CosmicEnergy και τη λειτουργικότητά του.
Πρώτον, το κακόβουλο λογισμικό μοιράζεται ομοιότητες με προηγούμενα κακόβουλα λογισμικά ΟΤ, όπως τα Industroyer και Industroyer.V2, τα οποία χρησιμοποιήθηκαν σε επιθέσεις εναντίον ουκρανικών παρόχων ενέργειας τον Δεκέμβριο του 2016 και τον Απρίλιο του 2020.
Επιπλέον, βασίζεται σε Python και χρησιμοποιεί βιβλιοθήκες ανοιχτού κώδικα για την υλοποίηση πρωτοκόλλου OT, όπως και άλλα στελέχη κακόβουλου λογισμικού που στοχεύουν συστήματα βιομηχανικού ελέγχου, συμπεριλαμβανομένων των IronGate, Triton και Incontroller.
Ακριβώς όπως το Industroyer, το CosmicEnergy πιθανότατα αποκτά πρόσβαση στα συστήματα OT του στόχου μέσω παραβιασμένων διακομιστών MSSQL χρησιμοποιώντας το εργαλείο disruption Piehop.
Μόλις εισέλθουν στο δίκτυο των θυμάτων, οι εισβολείς μπορούν να ελέγχουν τις RTU εξ αποστάσεως εκδίδοντας εντολές IEC-104 “ON” ή “OFF” μέσω του κακόβουλου εργαλείου Lightwork.
Η Mandiant πιστεύει ότι αυτό το πρόσφατα ανακαλυφθέν κακόβουλο λογισμικό μπορεί να έχει αναπτυχθεί ως εργαλείο red teaming, σχεδιασμένο για να προσομοιώνει ασκήσεις disruption από τη ρωσική εταιρεία κυβερνοασφάλειας Rostelecom-Solar.
Με βάση τις δημόσιες πληροφορίες που δείχνουν ότι η Rostelecom-Solar έλαβε χρηματοδότηση από τη ρωσική κυβέρνηση για την εκπαίδευση στην κυβερνοασφάλεια και την προσομοίωση διακοπών της ηλεκτρικής ενέργειας, η Mandiant υποψιάζεται ότι το CosmicEnergy θα μπορούσε επίσης να χρησιμοποιηθεί από τους ρωσικούς απειλητικούς φορείς σε διασπαστικές κυβερνοεπιθέσεις με στόχο κρίσιμες υποδομές, όπως και άλλα εργαλεία red team.
Τον Απρίλιο του 2022, η Microsoft ανέφερε ότι, μετά την εισβολή της Ρωσίας στην Ουκρανία, ρωσικές ομάδες χάκερ είχαν αναπτύξει πολλές οικογένειες κακόβουλου λογισμικού (ορισμένες από τις οποίες δεν είχαν εμφανιστεί ποτέ) σε καταστροφικές επιθέσεις εναντίον ουκρανικών στόχων, συμπεριλαμβανομένων κρίσιμων υποδομών.
Η λίστα περιλαμβάνει, αλλά δεν περιορίζεται σε αυτά, τα WhisperGate/WhisperKill, FoxBlade (γνωστό και ως HermeticWiper), SonicVote (γνωστό και ως HermeticRansom), CaddyWiper, DesertBlade, Industroyer2, Lasainraw (γνωστό και ως IsaacWiper) και FiberLake (γνωστό και ως DoubleZero).
Δείτε επίσης: Η D-Link διορθώνει σοβαρές ευπάθειες στο λογισμικό D-View 8
Οι Ρώσοι στρατιωτικοί χάκερ, χρησιμοποιώντας το κακόβουλο λογισμικό Industroyer2, στόχευσαν το δίκτυο ICS ενός εξέχοντος ουκρανικού παρόχου ενέργειας, ωστόσο απέτυχαν να καταρρίψουν τους ηλεκτρικούς υποσταθμούς υψηλής τάσης και να διακόψουν την παροχή ενέργειας σε ολόκληρη τη χώρα.
Πηγή πληροφοριών: bleepingcomputer.com
