Ερευνητές ανακάλυψαν κακόβουλο λογισμικό που συνδέεται με τη Ρωσία που θα μπορούσε να ακινητοποιήσει τα ηλεκτρικά δίκτυα

Ερευνητές ασφαλείας ανακάλυψαν νέο κακόβουλο λογισμικό συστημάτων βιομηχανικού ελέγχου, που ονομάζεται «CosmicEnergy», το οποίο λένε ότι θα μπορούσε να χρησιμοποιηθεί για να διαταράξει κρίσιμα συστήματα υποδομής και ηλεκτρικά δίκτυα.

Το κακόβουλο λογισμικό αποκαλύφθηκε από ερευνητές της Mandiant, οι οποίοι παρομοίασαν τις δυνατότητες της CosmicEnergy με το καταστροφικό κακόβουλο λογισμικό Industroyer που χρησιμοποίησε η υποστηριζόμενη από το κράτος ομάδα hacking «Sandworm» για να κόψει το ρεύμα στην Ουκρανία το 2016.

Ασυνήθιστα, η Mandiant λέει ότι αποκάλυψε την CosmicEnergy μέσω του κυνηγιού απειλών και όχι μετά από μια κυβερνοεπίθεση σε κρίσιμες υποδομές. Το κακόβουλο λογισμικό μεταφορτώθηκε στο VirusTotal, ένα κακόβουλο λογισμικό και ανιχνευτή ιών που ανήκει στην Google, τον Δεκέμβριο του 2021 από έναν υποβάλλοντα με έδρα τη Ρωσία, σύμφωνα με το Mandiant. Η ανάλυση της εταιρείας κυβερνοασφάλειας δείχνει ότι το κακόβουλο λογισμικό μπορεί να έχει αναπτυχθεί από τη Rostelecom-Solar, τον βραχίονα κυβερνοασφάλειας της εθνικής εταιρείας τηλεπικοινωνιών της Ρωσίας Rostelecom, για την υποστήριξη ασκήσεων όπως αυτές που φιλοξενούνται

σε συνεργασία με το ρωσικό υπουργείο Ενέργειας

το 2021.

“Ένας ανάδοχος μπορεί να το έχει αναπτύξει ως ένα κόκκινο εργαλείο ομαδοποίησης για ασκήσεις προσομοίωσης διακοπής ρεύματος που φιλοξενούνται από τη Rostelecom-Solar”, δήλωσε ο Mandiant. «Ωστόσο, δεδομένης της έλλειψης οριστικών αποδεικτικών στοιχείων, θεωρούμε επίσης πιθανό ότι ένας διαφορετικός παράγοντας —είτε με ή χωρίς άδεια— επαναχρησιμοποίησε κώδικα που σχετίζεται με το εύρος του κυβερνοχώρου για την ανάπτυξη αυτού του κακόβουλου λογισμικού».

Η Mandiant λέει ότι όχι μόνο οι χάκερ προσαρμόζονται τακτικά και χρησιμοποιούν τα εργαλεία της κόκκινης ομάδας για να διευκολύνουν τις πραγματικές επιθέσεις, αλλά η ανάλυσή της για το CosmicEnergy αποκαλύπτει ότι η λειτουργικότητα του κακόβουλου λογισμικού είναι επίσης συγκρίσιμη με αυτή άλλων παραλλαγών κακόβουλου λογισμικού που στοχεύουν συστήματα βιομηχανικού ελέγχου (ICS). όπως η Industroyer, αποτελώντας έτσι μια «εύλογη απειλή για τα επηρεαζόμενα περιουσιακά στοιχεία του ηλεκτρικού δικτύου».

Η Mandiant λέει στο TechCrunch ότι δεν έχει παρατηρήσει επιθέσεις CosmicEnergy στη φύση και σημειώνει ότι το κακόβουλο λογισμικό δεν διαθέτει δυνατότητες εντοπισμού, πράγμα που σημαίνει ότι οι χάκερ θα πρέπει να πραγματοποιήσουν κάποια εσωτερική αναγνώριση για να αποκτήσουν πληροφορίες περιβάλλοντος, όπως διευθύνσεις IP και διαπιστευτήρια, πριν ξεκινήσουν μια επίθεση.

Ωστόσο, οι ερευνητές πρόσθεσαν ότι επειδή το κακόβουλο λογισμικό στοχεύει το IEC-104, ένα πρωτόκολλο δικτύου που χρησιμοποιείται συνήθως σε βιομηχανικά περιβάλλοντα που στοχοποιήθηκε επίσης κατά την επίθεση του 2016 στο ηλεκτρικό δίκτυο της Ουκρανίας, το CosmicEnergy αποτελεί πραγματική απειλή για οργανισμούς που εμπλέκονται στη μεταφορά και διανομή ηλεκτρικής ενέργειας.

«Η ανακάλυψη νέων Ο.Τ [operational technology] Το κακόβουλο λογισμικό αποτελεί άμεση απειλή για τους επηρεαζόμενους οργανισμούς, καθώς αυτές οι ανακαλύψεις είναι σπάνιες και επειδή το κακόβουλο λογισμικό εκμεταλλεύεται κυρίως ανασφαλείς δυνατότητες δευτερεύουσας σχεδίασης περιβαλλόντων OT που είναι απίθανο να διορθωθούν σύντομα», προειδοποίησαν οι ερευνητές της Mandiant.

Η ανακάλυψη από τη Mandiant ενός νέου κακόβουλου λογισμικού προσανατολισμένου στο ICS έρχεται αφότου η Microsoft αποκάλυψε αυτή την εβδομάδα ότι κινέζοι χάκερ που υποστηρίζονται από το κράτος είχαν εισβάλει στην αμερικανική υποδομή ζωτικής σημασίας. Σύμφωνα με

η αναφορά

μια ομάδα κατασκοπείας που η Microsoft αναφέρει ως «Volt Typhoon» έχει βάλει στο στόχαστρο το νησιωτικό έδαφος των ΗΠΑ του Γκουάμ και θα μπορούσε να επιχειρήσει «να διαταράξει κρίσιμη υποδομή επικοινωνιών μεταξύ των Ηνωμένων Πολιτειών και της περιοχής της Ασίας κατά τη διάρκεια μελλοντικών κρίσεων».

Υπό το φως της έκθεσης, η κυβέρνηση των ΗΠΑ δήλωσε ότι συνεργάζεται με τους εταίρους της Five Eyes για τον εντοπισμό πιθανών παραβιάσεων. Η Microsoft λέει ότι ο όμιλος έχει προσπαθήσει να αποκτήσει πρόσβαση σε οργανισμούς στους τομείς των επικοινωνιών, της κατασκευής, των υπηρεσιών κοινής ωφέλειας, των μεταφορών, των κατασκευών, της ναυτιλίας, της κυβέρνησης, της τεχνολογίας πληροφοριών και της εκπαίδευσης.