Mandiant от Google, компания, специализирующаяся на угрозах в области информационной безопасности, обнаружила новый вид вредоносного программного обеспечения под названием COSMICENERGY. Этот вирус создан для внедрения и нарушения работы критически важных систем в промышленной среде. COSMICENERGY был загружен на публичный сканер вредоносного ПО в декабре 2021 года отправителем из России. Несмотря на отсутствие свидетельств его использования, его дизайн схож с другими специализированными вирусами, такими как Stuxnet, Havex, Triton, IRONGATE, BlackEnergy2, Industroyer и PIPEDREAM.
Косвенные доказательства предполагают, что COSMICENERGY был разработан российской телекоммуникационной компанией Rostelecom-Solar в качестве инструмента для моделирования отключения электроэнергии и учений по чрезвычайным ситуациям, которые проходили в октябре 2021 года. Это поднимает вопрос о том, создавался ли вредоносный код для воссоздания реалистичных сценариев атак на электросети для проверки оборонительных мер, или же другая сторона злоупотребила кодом для более злонамеренного использования.
Вредоносное ПО COSMICENERGY может эксплуатировать промышленный коммуникационный протокол, известный как IEC-104, чтобы отдавать команды удаленным терминальным устройствам (RTU). Эти команды могут использоваться для изменения работы линейных выключателей и автоматических выключателей, что приводит к отключению электроэнергии. Это достигается с помощью двух компонентов, PIEHOP и LIGHTWORK, двух инструментов прерывания, написанных на Python и C++ соответственно.
Обнаружение COSMICENERGY подчеркивает несколько важных тенденций в сфере угроз операционных технологий (OT). Оно представляет немедленную угрозу для затронутых организаций, так как такие открытия случаются редко. Более того, вредоносное ПО в основном эксплуатирует небезопасные характеристики по дизайну в OT-средах, которые вряд ли будут исправлены в ближайшем будущем. Это обнаружение подчеркивает насущную необходимость улучшения безопасности критической инфраструктуры и постоянного нахождения в бдительности перед возникающими киберугрозами.
Source: Hackernews
Чтобы смягчить эти потенциальные угрозы, важно внедрить дополнительные меры кибербезопасности с помощью надежного партнера, такого как INFRA www.infrascan.net, или вы можете попробовать сделать это самостоятельно, используя check.website.