近日,Mandiant威脅研究人員發(fā)現(xiàn)了旨在破壞電網(wǎng)的、與俄羅斯相關(guān)的新型惡意軟件,他們敦促能源公司采取行動(dòng)減輕這種“直接威脅”。
這種名為Cosmic Energy的專業(yè)操作技術(shù) (OT) 惡意軟件與之前針對(duì)電網(wǎng)的攻擊中使用的惡意軟件有相似之處,包括2016 年在烏克蘭基輔發(fā)生的“Industroyer”事件。
Cosmic Energy 旨在通過與 IEC 60870-5-104 (IEC-104) 標(biāo)準(zhǔn)設(shè)備(例如遠(yuǎn)程終端單元)交互來中斷電力。這些設(shè)備通常用于歐洲、中東和亞洲的輸電和配電業(yè)務(wù)。
同樣,在 2016 年的 Industroyer 攻擊中,據(jù)了解由俄羅斯 APT 組織 Sandworm 實(shí)施,該惡意軟件發(fā)出 IEC-104 ON/OFF 命令與 RTU 交互,并且可能利用 MSSQL 服務(wù)器作為管道系統(tǒng)來訪問加時(shí)賽。
這使攻擊者能夠發(fā)送遠(yuǎn)程命令來影響電力線開關(guān)和斷路器的啟動(dòng),從而導(dǎo)致電力中斷。
Mandiant 表示,Cosmic Energy 于 2021 年 12 月由俄羅斯的提交者上傳到公共惡意軟件掃描實(shí)用程序。有趣的是,根據(jù)其隨后的分析,該公司認(rèn)為俄羅斯網(wǎng)絡(luò)安全公司 Rostelecom-Solar 或承包商最初可能開發(fā)了用于培訓(xùn)目的的惡意軟件——重建針對(duì)能源電網(wǎng)資產(chǎn)的真實(shí)攻擊場(chǎng)景。
Mandiant 研究人員表示,威脅行為者可能會(huì)在未經(jīng)許可的情況下重復(fù)使用與網(wǎng)絡(luò)范圍相關(guān)的代碼來開發(fā)這種惡意軟件。
這使得 Cosmic Energy 有別于之前旨在破壞能源網(wǎng)絡(luò)的 OT 惡意軟件——因?yàn)橥{行為者正在利用從之前的攻擊中獲得的知識(shí)來創(chuàng)建新的攻擊工具,從而降低了進(jìn)入攻擊 OT 系統(tǒng)的門檻。
這尤其令人擔(dān)憂,“因?yàn)槲覀兺ǔS^察到這些類型的能力僅限于資源充足或國(guó)家資助的參與者?!?/span>
因此,研究人員警告說:“鑒于威脅行為者使用紅隊(duì)工具和公共開發(fā)框架在野外進(jìn)行有針對(duì)性的威脅活動(dòng),我們認(rèn)為 Cosmic Energy 對(duì)受影響的電網(wǎng)資產(chǎn)構(gòu)成了合理的威脅。利用符合 IEC-104 標(biāo)準(zhǔn)的設(shè)備的 OT 資產(chǎn)所有者應(yīng)采取行動(dòng),搶占 Cosmic Energy 野外部署的潛力?!?/span>
該團(tuán)隊(duì)指出,Cosmic Energy 缺乏發(fā)現(xiàn)能力,“這意味著要成功執(zhí)行攻擊,惡意軟件操作員需要執(zhí)行一些內(nèi)部偵察以獲取環(huán)境信息?!?/span>
(來源:E安全)