Découvert : CosmicEnergy, un logiciel malveillant qui provoque des interruptions de courant à la Kremlin

Un lecteur anonyme cite un rapport d’Ars Technica : Les chercheurs ont logiciels malveillants découverts conçus pour perturber la transmission de l’énergie électrique et peut avoir été utilisé par le gouvernement russe dans des exercices de formation pour créer ou répondre à des cyberattaques sur les réseaux électriques. Connu sous le nom de CosmicEnergy, le logiciel malveillant a des capacités comparables à celles trouvées dans les logiciels malveillants connus sous le nom d’Industroyer et Industroyer2, qui ont tous deux été largement attribués par les chercheurs à Sandworm, le nom de l’un des groupes de piratage les plus qualifiés et les plus féroces du Kremlin.

Des chercheurs de Mandiant, la société de sécurité qui a fondé CosmicEnergy, écrit: “COSMICENERGY est le dernier exemple de logiciel malveillant OT spécialisé capable de provoquer des impacts cyber-physiques, qui sont rarement découverts ou divulgués. Ce qui rend COSMICENERGY unique, c’est que, sur la base de notre analyse, un entrepreneur peut l’avoir développé comme un outil d’équipe rouge pour la puissance simulée exercices de perturbation organisés par Rostelecom-Solar, une société russe de cybersécurité. L’analyse du logiciel malveillant et de ses fonctionnalités révèle que ses capacités sont comparables à celles utilisées lors d’incidents et de logiciels malveillants précédents, tels que INDUSTRIE et INDUSTROYER.V2, qui étaient toutes deux des variantes de logiciels malveillants déployées dans le passé pour avoir un impact sur la transmission et la distribution d’électricité via IEC-104. La découverte de COSMICENERGY montre que les barrières à l’entrée pour développer des capacités OT offensives diminuent à mesure que les acteurs exploitent les connaissances des attaques précédentes pour développer de nouveaux logiciels malveillants. Étant donné que les acteurs de la menace utilisent des outils d’équipe rouge et des cadres d’exploitation publics pour des activités de menace ciblées dans la nature, nous pensons que COSMICENERGY constitue une menace plausible pour les actifs du réseau électrique concernés. Les propriétaires d’actifs OT utilisant des appareils conformes à la norme IEC-104 doivent prendre des mesures pour anticiper le potentiel du déploiement sauvage de COSMICENERGY.”

À l’heure actuelle, le lien est circonstanciel et se limite principalement à un commentaire trouvé dans le code suggérant qu’il fonctionne avec un logiciel conçu pour des exercices d’entraînement parrainés par le Kremlin. Conformément à la théorie selon laquelle CosmicEnergy est utilisé dans les soi-disant exercices Red Team qui simulent des hacks hostiles, le logiciel malveillant n’a pas la capacité de s’enfouir dans un réseau pour obtenir des informations sur l’environnement qui seraient nécessaires pour exécuter une attaque. Le logiciel malveillant comprend des adresses d’objets d’information codées en dur généralement associées à des commutateurs de lignes électriques ou à des disjoncteurs, mais ces mappages devraient être personnalisés pour une attaque spécifique car ils diffèrent d’un fabricant à l’autre. “Pour cette raison, les actions particulières prévues par l’acteur ne sont pas claires sans plus de connaissances sur les actifs ciblés”, ont écrit les chercheurs de Mandiant.