محققان امنیتی بدافزار جدید سیستم کنترل صنعتی را کشف کرده اند که "CosmicEnergy" نامیده می شود، که به گفته آنها می تواند برای مختل کردن سیستم های زیرساختی حیاتی و شبکه های الکتریکی مورد استفاده قرار گیرد.
این بدافزار توسط محققان Mandiant کشف شد که تواناییهای CosmicEnergy را به بدافزار مخرب Industroyer تشبیه کردهاند که گروه هکر Sandworm تحت حمایت دولت روسیه از آن برای قطع برق در اوکراین در سال ۲۰۱۶ استفاده کرد.
به طور غیرمعمول، Mandiant می گوید که CosmicEnergy را از طریق شکار تهدید و عدم پیگیری یک حمله سایبری به زیرساخت های حیاتی کشف کرده است. به گفته Mandiant، این بدافزار در دسامبر ۲۰۲۱ توسط یک ارسال کننده مستقر در روسیه در VirusTotal، یک بدافزار و اسکنر ویروس متعلق به گوگل، آپلود شد. تجزیه و تحلیل شرکت امنیت سایبری نشان میدهد که این بدافزار ممکن است توسط Rostelecom-Solar، بازوی امنیت سایبری اپراتور ملی مخابرات روسیه Rostelecom، برای پشتیبانی از تمرینهایی مانند مواردی که با همکاری وزارت انرژی روسیه در سال ۲۰۲۱ میزبانی شدهاند، توسعه داده شده باشد.
Mandiant گفت: "ممکن است یک پیمانکار آن را به عنوان یک ابزار تیمی قرمز برای تمرینات شبیه سازی شده قطع برق که توسط Rostelecom-Solar میزبانی می شود، توسعه داده باشد." با این حال، با توجه به فقدان شواهد قطعی، ما همچنین احتمال میدهیم که یک بازیگر متفاوت - چه با اجازه یا بدون اجازه - از کد مرتبط با محدوده سایبری برای توسعه این بدافزار استفاده مجدد کرده باشد.
Mandiant می گوید که نه تنها هکرها به طور منظم از ابزارهای تیم قرمز برای تسهیل حملات دنیای واقعی استفاده می کنند، بلکه تجزیه و تحلیل CosmicEnergy نشان می دهد که عملکرد بدافزار با دیگر انواع بدافزارهایی که سیستم های کنترل صنعتی (ICS) را هدف قرار می دهند، قابل مقایسه است. مانند Industroyer، پس یک "تهدید قابل قبول برای دارایی های شبکه برق آسیب دیده" است.
Mandiant به TechCrunch او میگوید که هیچ حمله CosmicEnergy را در طبیعت مشاهده نکرده است و خاطرنشان میکند که بدافزار فاقد قابلیتهای کشف است، به این معنی که هکرها باید قبل از شروع حمله، برخی از شناساییهای داخلی را برای به دست آوردن اطلاعات محیطی مانند آدرسهای IP و اعتبارنامهها انجام دهند.
با این حال، محققان گفت ند که از آنجایی که بدافزار IEC-104 را هدف قرار می دهد، یک پروتکل شبکه ای که معمولاً در محیط های صنعتی استفاده می شود و در طول حمله سال ۲۰۱۶ به شبکه برق اوکراین نیز مورد هدف قرار گرفت، CosmicEnergy یک تهدید واقعی برای سازمان های درگیر در انتقال و توزیع برق است.
«کشف بدافزار جدید OT [فناوری عملیاتی] تهدیدی فوری برای سازمانهای آسیبدیده است زیرا این اکتشافات نادر هستند و بدافزار اصولاً از آپشن های ناامن طراحی جانبی محیطهای OT بهره میبرد که بعید است به این زودیها اصلاح شوند.» محققان Mandiant هشدار دادند.
کشف بدافزار جدید مبتنی بر ICS توسط Mandiant پس از آن صورت گرفت که مایکروسافت این هفته فاش کرد که هکرهای تحت حمایت دولت چین به زیرساخت های حیاتی آمریکا هک کرده اند. بر اساس این گزارش، یک گروه جاسوسی که مایکروسافت از آن به عنوان "ولت تایفون" یاد می کند، قلمرو جزیره ای گوام در ایالات متحده را هدف قرار داده است و ممکن است در تلاش باشد تا "زیرساخت های ارتباطی مهم بین ایالات متحده و منطقه آسیا را در طول بحران های آینده مختل کند."
با توجه به این گزارش، دولت ایالات متحده بیان کرد که با شرکای Five Eyes خود برای شناسایی موارد نقض احتمالی کار می کند. مایکروسافت او میگوید این گروه تلاش کرده است به سازمانهایی در بخشهای ارتباطات، تولید، خدمات، حملونقل، ساختوساز، دریانوردی، دولتی، فناوری اطلاعات و آموزش دسترسی پیدا کند.
