Badacze cyberbezpieczeństwa firmy Mandiant wykryli, że złośliwe oprogramowanie CosmicEnergy może zaszkodzić i zakłócić działanie systemów infrastruktury krytycznej. Dotyczy to m.in. sieci energetycznych. Działania związane z oprogramowaniem mogą mieć związek z Rosją.
Firmy Mandiant w przeszłości wykryła, kto stoi za tzw. aferą mailową w Polsce. Najnowsza analiza badaczy tej firmy wskazuje, że złośliwe oprogramowanie zwane CosmicEnergy atakuje sieci energetyczne. Pod względem działania oprogramowanie przypomina malware Industroyer. Wykorzystywany był przez Rosję chociażby do atakowania infrastruktury energetycznej Ukrainy.
Zauważalne są również podobieństwa do złośliwego oprogramowania Tritoin. Tego użyto w 2017 roku do cyberataku na zakład petrochemiczny w Arabii Saudyjskiej.
Czy sieci energetyczne atakuje malware z Rosji?
Mandiant uznaje, że również CosmicEnergy ma powiązania z Rosją. Do takiego wniosku badacze doszli analizując kod i łącząc go z projektem „Solar Polygon”. Stała za nim Rostelecom – największa rosyjska firma telekomunikacyjna.
Powodem były ćwiczeniami reagowania kryzysowego. Malware powstał, by ćwiczyć rzeczywiste scenariusze ataku na sieć energetyczną w Rosji. Mandiant w swojej analizie dostrzegł podobieństwo do ćwiczeń Red Team. Zorganizowano je we współpracy z rosyjskim Ministerstwem Energii w 2021 roku. Istniejące złośliwe oprogramowanie może jednak służyć nie tylko do wewnętrznych ćwiczeń, ale również do zewnętrznych ataków.
Mandiant zaznacza, że jego analizy nie są wystarczającym dowodem, by mieć pewność, że CosmicEnergy pochodzi z Rosji. Jednocześnie podaje, że „złośliwe oprogramowanie zostało prawdopodobnie opracowane przez Rostelecom-Solar lub podmiot powiązany z Rosją”. Możliwe jest też, że inny podmiot wykorzystał kod do opracowania złośliwego oprogramowanie. Mógł to zrobić za zgodą lub bez zgody pierwotnych twórców.
Pewne jest, że CosmicEnergy powstał w celu wsparcia ukierunkowanych ataków. Może zatem posłużyć do cyberataków na obiekty infrastruktury krytycznej jakimi są chociażby te związane z siecią energetyczną.
Źródło: cyberdefence24.pl
