近日,Mandiant威脅研究人員發現了旨在破壞電網的、與俄羅斯相關的 新型惡意軟件,他們敦促能源公司采取行動減輕這種“直接威脅”。

這種名為 Cosmic  Energy的專業操作技術 (OT) 惡意軟件與之前針對電網的攻擊中使用的惡意軟件有相似之處,包括2016 年在烏克蘭基輔發生的“Industroyer”事件。

Cosmic Energy 旨在通過與 IEC 60870-5-104 (IEC-104) 標準設備(例如遠程終端單元)交互來中斷電力。這些設備通常用于歐洲、中東和亞洲的輸電和配電業務。

同樣,在 2016 年的 Industroyer 攻擊中,據了解由俄羅斯 APT 組織 Sandworm 實施,該惡意軟件發出 IEC-104 ON/OFF 命令與 RTU 交互,并且可能利用 MSSQL 服務器作為管道系統來訪問加時賽。

這使攻擊者能夠發送遠程命令來影響電力線開關和斷路器的啟動,從而導致電力中斷。

Mandiant 表示, Cosmic Energy 于 2021 年 12 月由俄羅斯的提交者上傳到公共惡意軟件掃描實用程序。有趣的是,根據其隨后的分析,該公司認為俄羅斯網絡安全公司 Rostelecom-Solar 或承包商最初可能開發了用于培訓目的的惡意軟件——重建針對能源電網資產的真實攻擊場景。

Mandiant 研究人員表示,威脅行為者可能會在未經許可的情況下重復使用與網絡范圍相關的代碼來開發這種惡意軟件。

這使得 Cosmic Energy 有別于之前旨在破壞能源網絡的 OT 惡意軟件——因為威脅行為者正在利用從之前的攻擊中獲得的知識來創建新的攻擊工具,從而降低了進入攻擊 OT 系統的門檻。

這尤其令人擔憂,“因為我們通常觀察到這些類型的能力僅限于資源充足或國家資助的參與者。”

因此,研究人員警告說:“鑒于威脅行為者使用紅隊工具和公共開發框架在野外進行有針對性的威脅活動,我們認為 Cosmic Energy 對受影響的電網資產構成了合理的威脅。利用符合 IEC-104 標準的設備的 OT 資產所有者應采取行動,搶占 Cosmic Energy 野外部署的潛力。”

該團隊指出, Cosmic Energy 缺乏發現能力,“這意味著要成功執行攻擊,惡意軟件操作員需要執行一些內部偵察以獲取環境信息。”

cosmic 網絡安全
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接