Les logiciels malveillants COSMICENERGY ciblent les industries

Une souche de logiciels malveillants récemment découverte a été découverte, spécialement conçue pour infiltrer et perturber les systèmes critiques dans les environnements industriels. Désigné sous le nom de COSMICENERGY par Mandiant, une société de renseignements sur les menaces appartenant à Google, ce logiciel malveillant a été détecté sur l'utilitaire public d'analyse des logiciels malveillants VirusTotal en décembre 2021, téléchargé par un individu en Russie. Actuellement, il n'y a aucune preuve de son déploiement dans la nature.

L'objectif principal de COSMICENERGY est de provoquer des perturbations dans l'alimentation électrique en ciblant les dispositifs CEI-104, tels que les unités terminales distantes (RTU), couramment utilisées dans les opérations de transmission et de distribution d'électricité en Europe, au Moyen-Orient et en Asie. Ce malware rejoint une famille de logiciels malveillants spécialisés, notamment Stuxnet, Havex, Triton, IRONGATE, BlackEnergy2, Industroyer et PIPEDREAM, tous capables de saboter des systèmes critiques et de créer un chaos généralisé.

Mandiant suggère qu'il existe des liens possibles indiquant que COSMICENERGY pourrait avoir été développé comme un outil de red teaming par la société de télécommunications russe Rostelecom-Solar. L'objectif serait de simuler des coupures de courant et d'évaluer les procédures d'intervention d'urgence lors d'exercices menés en octobre 2021. Cela soulève la possibilité que le logiciel malveillant ait été créé pour reproduire des scénarios d'attaque réalistes contre des actifs du réseau électrique à des fins de test de défense ou que son code ait été réutilisé par un autre. partie associée aux activités de cybergamme.

Caractéristiques et capacités de COSMICENERGY

En termes de fonctionnalités et de capacités, COSMICENERGY présente des similitudes avec Industroyer, qui a été attribué au groupe Sandworm soutenu par le Kremlin. Le logiciel malveillant exploite un protocole de communication industriel appelé IEC-104 pour envoyer des commandes aux RTU. Grâce à cet accès, un attaquant obtient la capacité d'envoyer des commandes à distance qui ont un impact sur l'actionnement des commutateurs de lignes électriques et des disjoncteurs, entraînant des interruptions de courant. COSMICENERGY utilise deux composants, PIEHOP et LIGHTWORK, écrits respectivement en Python et C++, pour transmettre les commandes IEC-104 à l'équipement industriel connecté.

Un aspect notable de ce logiciel malveillant de système de contrôle industriel (ICS) est ses capacités limitées d'intrusion et de découverte. Cela signifie qu'il s'appuie sur l'opérateur pour effectuer une reconnaissance interne du réseau afin d'identifier les adresses IP des appareils IEC-104 à cibler. Pour mener une attaque, un acteur malveillant devrait infecter un ordinateur du réseau, localiser un serveur Microsoft SQL ayant accès aux RTU et obtenir les informations d'identification nécessaires. Par la suite, PIEHOP est exécuté sur la machine compromise pour télécharger LIGHTWORK sur le serveur. LIGHTWORK lance alors des commandes à distance perturbatrices pour modifier l'état des unités (ON ou OFF) via TCP. L'exécutable est rapidement supprimé après l'émission des instructions.