محققان بدافزار مرتبط با روسیه را کشف کردند که می تواند شبکه های الکتریکی را بی حرکت کند

محققان امنیتی بدافزار جدید سیستم کنترل صنعتی را کشف کرده اند که “CosmicEnergy” نامیده می شود، که به گفته آنها می تواند برای مختل کردن سیستم های زیرساختی حیاتی و شبکه های الکتریکی مورد استفاده قرار گیرد.

این بدافزار توسط محققان Mandiant کشف شد که توانایی‌های CosmicEnergy را به بدافزار مخرب Industroyer تشبیه کرده‌اند که گروه هکر Sandworm تحت حمایت دولت روسیه از آن برای قطع برق در اوکراین در سال 2016 استفاده کرد.

به طور غیرمعمول، Mandiant می گوید که CosmicEnergy را از طریق شکار تهدید و عدم پیگیری یک حمله سایبری به زیرساخت های حیاتی کشف کرده است. به گفته Mandiant، این بدافزار در دسامبر 2021 توسط یک ارسال کننده مستقر در روسیه در VirusTotal، یک بدافزار و اسکنر ویروس متعلق به گوگل، آپلود شد. تجزیه و تحلیل شرکت امنیت سایبری نشان می‌دهد که این بدافزار ممکن است توسط Rostelecom-Solar، بازوی امنیت سایبری اپراتور ملی مخابرات روسیه Rostelecom، برای پشتیبانی از تمرین‌هایی مانند مواردی که با همکاری وزارت انرژی روسیه در سال 2021 میزبانی شده‌اند، توسعه داده شده باشد.

Mandiant گفت: “ممکن است یک پیمانکار آن را به عنوان یک ابزار تیمی قرمز برای تمرینات شبیه سازی شده قطع برق که توسط Rostelecom-Solar میزبانی می شود، توسعه داده باشد.” با این حال، با توجه به فقدان شواهد قطعی، ما همچنین احتمال می‌دهیم که یک بازیگر متفاوت – چه با اجازه یا بدون اجازه – از کد مرتبط با محدوده سایبری برای توسعه این بدافزار استفاده مجدد کرده باشد.

Mandiant می گوید که نه تنها هکرها به طور منظم از ابزارهای تیم قرمز برای تسهیل حملات دنیای واقعی استفاده می کنند، بلکه تجزیه و تحلیل CosmicEnergy نشان می دهد که عملکرد بدافزار با دیگر انواع بدافزارهایی که سیستم های کنترل صنعتی (ICS) را هدف قرار می دهند، قابل مقایسه است. مانند Industroyer، بنابراین یک “تهدید قابل قبول برای دارایی های شبکه برق تحت تاثیر قرار می گیرد.”

Mandiant به TechCrunch می‌گوید که هیچ حمله CosmicEnergy را در طبیعت مشاهده نکرده است و خاطرنشان می‌کند که بدافزار فاقد قابلیت‌های کشف است، به این معنی که هکرها باید قبل از شروع حمله، برخی از شناسایی‌های داخلی را برای به دست آوردن اطلاعات محیطی مانند آدرس‌های IP و اعتبارنامه‌ها انجام دهند.

با این حال، محققان افزودند که از آنجایی که بدافزار IEC-104 را هدف قرار می دهد، یک پروتکل شبکه ای که معمولاً در محیط های صنعتی استفاده می شود و در طول حمله سال 2016 به شبکه برق اوکراین نیز مورد هدف قرار گرفت، CosmicEnergy یک تهدید واقعی برای سازمان های درگیر در انتقال و توزیع برق است.

“کشف OT جدید [operational technology] محققان Mandiant هشدار دادند بدافزار تهدیدی فوری برای سازمان‌های آسیب‌دیده است زیرا این اکتشافات نادر هستند و بدافزار عمدتاً از ویژگی‌های ناامن طراحی جانبی محیط‌های OT بهره می‌برد که بعید است به این زودی اصلاح شوند.

کشف بدافزار جدید مبتنی بر ICS توسط Mandiant پس از آن صورت گرفت که مایکروسافت این هفته فاش کرد که هکرهای تحت حمایت دولت چین به زیرساخت های حیاتی آمریکا هک کرده اند. بر اساس این گزارش، یک گروه جاسوسی که مایکروسافت از آن به عنوان “ولت تایفون” یاد می کند، قلمرو جزیره ای گوام در ایالات متحده را هدف قرار داده است و ممکن است در تلاش باشد تا “زیرساخت های ارتباطی مهم بین ایالات متحده و منطقه آسیا را در طول بحران های آینده مختل کند.”

با توجه به این گزارش، دولت ایالات متحده گفت که با شرکای Five Eyes خود برای شناسایی نقض‌های احتمالی کار می‌کند. مایکروسافت می‌گوید این گروه تلاش کرده است به سازمان‌هایی در بخش‌های ارتباطات، تولید، خدمات، حمل‌ونقل، ساخت‌وساز، دریانوردی، دولتی، فناوری اطلاعات و آموزش دسترسی پیدا کند.