محققان امنیتی بدافزار جدید سیستم کنترل صنعتی را کشف کرده اند که “CosmicEnergy” نامیده می شود، که به گفته آنها می تواند برای مختل کردن سیستم های زیرساختی حیاتی و شبکه های الکتریکی مورد استفاده قرار گیرد.
این بدافزار توسط محققان Mandiant کشف شد که تواناییهای CosmicEnergy را به بدافزار مخرب Industroyer تشبیه کردهاند که گروه هکر Sandworm تحت حمایت دولت روسیه از آن برای قطع برق در اوکراین در سال 2016 استفاده کرد.
به طور غیرمعمول، Mandiant می گوید که CosmicEnergy را از طریق شکار تهدید و عدم پیگیری یک حمله سایبری به زیرساخت های حیاتی کشف کرده است. به گفته Mandiant، این بدافزار در دسامبر 2021 توسط یک ارسال کننده مستقر در روسیه در VirusTotal، یک بدافزار و اسکنر ویروس متعلق به گوگل، آپلود شد. تجزیه و تحلیل شرکت امنیت سایبری نشان میدهد که این بدافزار ممکن است توسط Rostelecom-Solar، بازوی امنیت سایبری اپراتور ملی مخابرات روسیه Rostelecom، برای پشتیبانی از تمرینهایی مانند مواردی که با همکاری وزارت انرژی روسیه در سال 2021 میزبانی شدهاند، توسعه داده شده باشد.
Mandiant گفت: “ممکن است یک پیمانکار آن را به عنوان یک ابزار تیمی قرمز برای تمرینات شبیه سازی شده قطع برق که توسط Rostelecom-Solar میزبانی می شود، توسعه داده باشد.” با این حال، با توجه به فقدان شواهد قطعی، ما همچنین احتمال میدهیم که یک بازیگر متفاوت – چه با اجازه یا بدون اجازه – از کد مرتبط با محدوده سایبری برای توسعه این بدافزار استفاده مجدد کرده باشد.
Mandiant می گوید که نه تنها هکرها به طور منظم از ابزارهای تیم قرمز برای تسهیل حملات دنیای واقعی استفاده می کنند، بلکه تجزیه و تحلیل CosmicEnergy نشان می دهد که عملکرد بدافزار با دیگر انواع بدافزارهایی که سیستم های کنترل صنعتی (ICS) را هدف قرار می دهند، قابل مقایسه است. مانند Industroyer، بنابراین یک “تهدید قابل قبول برای دارایی های شبکه برق تحت تاثیر قرار می گیرد.”
Mandiant به TechCrunch میگوید که هیچ حمله CosmicEnergy را در طبیعت مشاهده نکرده است و خاطرنشان میکند که بدافزار فاقد قابلیتهای کشف است، به این معنی که هکرها باید قبل از شروع حمله، برخی از شناساییهای داخلی را برای به دست آوردن اطلاعات محیطی مانند آدرسهای IP و اعتبارنامهها انجام دهند.
با این حال، محققان افزودند که از آنجایی که بدافزار IEC-104 را هدف قرار می دهد، یک پروتکل شبکه ای که معمولاً در محیط های صنعتی استفاده می شود و در طول حمله سال 2016 به شبکه برق اوکراین نیز مورد هدف قرار گرفت، CosmicEnergy یک تهدید واقعی برای سازمان های درگیر در انتقال و توزیع برق است.
“کشف OT جدید [operational technology] محققان Mandiant هشدار دادند بدافزار تهدیدی فوری برای سازمانهای آسیبدیده است زیرا این اکتشافات نادر هستند و بدافزار عمدتاً از ویژگیهای ناامن طراحی جانبی محیطهای OT بهره میبرد که بعید است به این زودی اصلاح شوند.
کشف بدافزار جدید مبتنی بر ICS توسط Mandiant پس از آن صورت گرفت که مایکروسافت این هفته فاش کرد که هکرهای تحت حمایت دولت چین به زیرساخت های حیاتی آمریکا هک کرده اند. بر اساس این گزارش، یک گروه جاسوسی که مایکروسافت از آن به عنوان “ولت تایفون” یاد می کند، قلمرو جزیره ای گوام در ایالات متحده را هدف قرار داده است و ممکن است در تلاش باشد تا “زیرساخت های ارتباطی مهم بین ایالات متحده و منطقه آسیا را در طول بحران های آینده مختل کند.”
با توجه به این گزارش، دولت ایالات متحده گفت که با شرکای Five Eyes خود برای شناسایی نقضهای احتمالی کار میکند. مایکروسافت میگوید این گروه تلاش کرده است به سازمانهایی در بخشهای ارتباطات، تولید، خدمات، حملونقل، ساختوساز، دریانوردی، دولتی، فناوری اطلاعات و آموزش دسترسی پیدا کند.