Les chercheurs en sécurité de Mandiant ont découvert un nouveau malware appelé CosmicEnergy conçu pour perturber les systèmes industriels et lié à la société russe de cybersécurité Rostelecom-Solar (anciennement Solar Security).
Le logiciel malveillant cible spécifiquement les terminaux distants (RTU) conformes à la norme IEC-104 couramment utilisés dans les opérations de transmission et de distribution d’électricité en Europe, au Moyen-Orient et en Asie.
CosmicEnergy a été découvert après qu’un échantillon a été téléchargé sur la plate-forme d’analyse de logiciels malveillants VirusTotal en décembre 2021 par une personne disposant d’une adresse IP russe.
L’analyse de l’échantillon de malware divulgué a révélé plusieurs aspects remarquables concernant CosmicEnergy et ses fonctionnalités.
Premièrement, le logiciel malveillant partage des similitudes avec les logiciels malveillants OT précédents comme Industroyer et Industroyer.V2, tous deux utilisés dans des attaques ciblant les fournisseurs d’énergie ukrainiens en décembre 2016 et avril 2022.
De plus, il est basé sur Python et utilise des bibliothèques open source pour la mise en œuvre du protocole OT, tout comme d’autres souches de logiciels malveillants ciblant les systèmes de contrôle industriels, notamment IronGate, Triton et Incontroller.
Tout comme Industroyer, CosmicEnergy accède probablement aux systèmes OT de la cible via des serveurs MSSQL compromis à l’aide de l’outil de perturbation Piehop.
Une fois à l’intérieur du réseau des victimes, les attaquants peuvent contrôler les RTU à distance en émettant des commandes IEC-104 « ON » ou « OFF » via l’outil malveillant Lightwork.
Mandiant pense que ce logiciel malveillant récemment découvert a peut-être été développé comme un outil d’équipe rouge conçu pour simuler des exercices de perturbation par la société russe de cybersécurité Rostelecom-Solar.
Sur la base d’informations publiques montrant que Rostelecom-Solar a reçu un financement du gouvernement russe pour une formation à la cybersécurité et pour simuler une interruption de l’alimentation électrique, Mandiant soupçonne que CosmicEnergy pourrait également être utilisé par des acteurs de la menace russe dans des cyberattaques perturbatrices ciblant des infrastructures critiques comme d’autres outils de l’équipe rouge.
« Au cours de notre analyse de COSMICENERGY, nous avons identifié un commentaire dans le code indiquant que l’échantillon utilise un module associé à un projet nommé « Solar Polygon ». Nous avons recherché la chaîne unique et identifié une seule correspondance avec une cyber-gamme (alias polygone) développée par Rostelecom-Solar », a déclaré Mandiant.
« Bien que nous n’ayons pas identifié suffisamment de preuves pour déterminer l’origine ou le but de COSMICENERGY, nous pensons que le logiciel malveillant a peut-être été développé par Rostelecom-Solar ou une partie associée pour recréer des scénarios d’attaque réels contre les actifs du réseau énergétique », a déclaré Mandiant.
« Étant donné que les acteurs de la menace utilisent des outils d’équipe rouge et des cadres d’exploitation publics pour des activités de menace ciblées dans la nature, nous pensons que COSMICENERGY constitue une menace plausible pour les actifs du réseau électrique concernés. »
Comme Microsoft l’a signalé en avril 2022, après l’invasion de l’Ukraine par la Russie, des groupes de piratage russes ont déployé de nombreuses familles de logiciels malveillants (certains d’entre eux jamais vus auparavant) dans des attaques destructrices contre des cibles ukrainiennes, y compris des infrastructures critiques.
La liste comprend, mais sans s’y limiter, WhisperGate/WhisperKill, FoxBlade (alias HermeticWiper), SonicVote (alias HermeticRansom), CaddyWiper, DesertBlade, Industroyer2, Lasainraw (alias IsaacWiper) et FiberLake (alias DoubleZero).
Les pirates militaires russes de Sandworm ont utilisé le logiciel malveillant Industroyer2 pour cibler le réseau ICS d’un important fournisseur d’énergie ukrainien, mais n’ont pas réussi à désactiver ses sous-stations électriques à haute tension et à perturber la fourniture d’énergie dans tout le pays.