Mandiant của Google, một công ty tình báo mối đe dọa, đã phát hiện một dạng mã độc mới gọi là COSMICENERGY. Phần mềm độc hại này được thiết kế để xâm nhập và gây rối loạn các hệ thống quan trọng trong môi trường công nghiệp. COSMICENERGY đã được tải lên một tiện ích quét mã độc công cộng vào tháng 12 năm 2021 bởi một người gửi từ Nga. Mặc dù không có bằng chứng về việc sử dụng nó trong tự nhiên, thiết kế của nó tương tự như các loại mã độc chuyên biệt khác như Stuxnet, Havex, Triton, IRONGATE, BlackEnergy2, Industroyer và PIPEDREAM.
Các bằng chứng ngụy biện cho thấy COSMICENERGY đã được phát triển bởi công ty viễn thông Nga Rostelecom-Solar như một công cụ để mô phỏng cắt điện và bài tập phản ứng khẩn cấp diễn ra vào tháng 10 năm 2021. Điều này đặt ra khả năng mã độc đã được tạo ra để tái tạo các kịch bản tấn công thực tế vào hệ thống lưới điện để thử nghiệm phòng thủ, hoặc một thực thể khác đã sử dụng lại mã để mục đích xấu hơn.
Mã độc COSMICENERGY có khả năng khai thác một giao thức truyền thông công nghiệp được gọi là IEC-104 để phát ra lệnh cho các đơn vị đầu cuối từ xa (RTU). Các lệnh này có thể được sử dụng để thay đổi hiệu suất của các công tắc dòng cung cấp và các máy cắt, dẫn đến cắt điện. Điều này được thực hiện với sự giúp đỡ của hai thành phần, PIEHOP và LIGHTWORK, hai công cụ gián đoạn được viết bằng Python và C++ tương ứng.
Việc phát hiện ra COSMICENERGY nhấn mạnh một số phát triển quan trọng trong cảnh quan mối đe dọa OT (công nghệ hoạt động). Nó đặt ra mối đe dọa trực tiếp đối với các tổ chức bị ảnh hưởng, vì những phát hiện như vậy rất hiếm. Thêm vào đó, mã độc chủ yếu tận dụng các tính năng không an toàn theo thiết kế trong môi trường OT, mà rất có thể không được khắc phục trong tương lai gần. Việc phát hiện này nhấn mạnh sự cần thiết khẩn cấp của việc cải thiện an ninh trong cơ sở hạ tầng quan trọng và việc cần phải luôn cảnh giác đối với các mối đe dọa mạng mới nổi.
Source: Hackernews
Để giảm thiểu các mối đe dọa tiềm năng này, quan trọng là thực hiện các biện pháp bảo mật mạng bổ sung với sự trợ giúp của đối tác đáng tin cậy như INFRA www.infrascan.net hoặc bạn có thể tự kiểm tra bằng cách sử dụng check.website.