Sicherheitsforscher haben eine neue Schadsoftware für industrielle Steuerungssysteme namens „CosmicEnergy“ entdeckt, die ihrer Meinung nach zur Störung kritischer Infrastruktursysteme und Stromnetze eingesetzt werden könnte.
Die Malware wurde von Forschern bei Mandiant entdeckt, die die Fähigkeiten von CosmicEnergy mit der zerstörerischen Industroyer-Malware verglichen haben, mit der die staatlich unterstützte russische Hackergruppe „Sandworm“ 2016 den Strom in der Ukraine abschaltete.
Ungewöhnlich sei, so Mandiant, sei CosmicEnergy durch Threat-Hunting und nicht durch die Verfolgung eines Cyberangriffs auf kritische Infrastruktur aufgedeckt worden. Laut Mandiant wurde die Malware im Dezember 2021 von einem in Russland ansässigen Einsender auf VirusTotal, einen Google-eigenen Malware- und Virenscanner, hochgeladen. Die Analyse des Cybersicherheitsunternehmens zeigt, dass die Malware möglicherweise von Rostelecom-Solar, der Cybersicherheitsabteilung des russischen Telekommunikationsbetreibers Rostelecom, entwickelt wurde, um Übungen wie die gehosteten zu unterstützen in Zusammenarbeit mit dem russischen Energieministerium im Jahr 2021.
„Ein Auftragnehmer hat es möglicherweise als Red-Teaming-Tool für simulierte Stromunterbrechungsübungen entwickelt, die von Rostelecom-Solar veranstaltet werden“, sagte Mandiant. „Angesichts des Mangels an schlüssigen Beweisen halten wir es jedoch auch für möglich, dass ein anderer Akteur – entweder mit oder ohne Genehmigung – mit der Cyber-Reihe in Verbindung stehenden Code wiederverwendet hat, um diese Malware zu entwickeln.“
Mandiant sagt, dass Hacker nicht nur regelmäßig Red-Team-Tools anpassen und nutzen, um reale Angriffe zu ermöglichen, sondern die Analyse von CosmicEnergy zeigt auch, dass die Funktionalität der Malware auch mit der anderer Malware-Varianten vergleichbar ist, die auf industrielle Kontrollsysteme (ICS) abzielen. wie Industroyer, was eine „plausible Bedrohung für betroffene Stromnetzanlagen“ darstellt.
Mandiant teilt Tech mit, dass es keine CosmicEnergy-Angriffe in freier Wildbahn beobachtet hat und weist darauf hin, dass es der Malware an Erkennungsfähigkeiten mangelt, was bedeutet, dass Hacker eine interne Erkundung durchführen müssten, um Umgebungsinformationen wie IP-Adressen und Anmeldeinformationen zu erhalten, bevor sie einen Angriff starten.
Die Forscher fügten jedoch hinzu, dass CosmicEnergy eine echte Bedrohung für Organisationen darstellt, die an der Stromübertragung und -verteilung beteiligt sind, da die Malware auf IEC-104 abzielt, ein in industriellen Umgebungen häufig verwendetes Netzwerkprotokoll, das auch bei dem Angriff auf das ukrainische Stromnetz im Jahr 2016 zum Ziel wurde.
„Die Entdeckung des neuen OT [operational technology] „Malware stellt eine unmittelbare Bedrohung für betroffene Unternehmen dar, da diese Entdeckungen selten sind und weil die Malware hauptsächlich unsichere, konstruktionsbedingte Funktionen von OT-Umgebungen ausnutzt, die in absehbarer Zeit wahrscheinlich nicht behoben werden können“, warnten Mandiant-Forscher.
Mandiants Entdeckung neuer ICS-orientierter Malware erfolgt, nachdem Microsoft diese Woche bekannt gegeben hat, dass staatlich unterstützte chinesische Hacker sich in die kritische Infrastruktur der USA gehackt haben. Entsprechend der Berichteine Spionagegruppe, die Microsoft als „Volt Typhoon“ bezeichnet, hat das US-Inselgebiet Guam ins Visier genommen und könnte versuchen, „bei künftigen Krisen die kritische Kommunikationsinfrastruktur zwischen den Vereinigten Staaten und der Region Asien zu stören“.
Angesichts des Berichts sagte die US-Regierung, sie arbeite mit ihren Five Eyes-Partnern zusammen, um potenzielle Verstöße zu identifizieren. Laut Microsoft hat die Gruppe versucht, auf Organisationen in den Bereichen Kommunikation, Fertigung, Versorgung, Transport, Bauwesen, Schifffahrt, Regierung, Informationstechnologie und Bildung zuzugreifen.