Підписуйтеся на наш телеграм канал!
Росіяни створили новий вірус, здатний атакувати електромережі
Фахівці компанії Mandiant виявили підозріле шкідливе ПЗ, імовірно розроблене російським підрядником, яке було створено для порушення роботи енергетичних мереж у Європі, Азії та на Близькому Сході. Шкідливе ПЗ, що отримало назву CosmicEnergy, було помічено після його завантаження на VirusTotal.
На думку команди, найімовірніше, автори вірусу створили шкідливе ПЗ в якості інструменту для тренування своїх команд під час проведення навчань з імітації перебоїв в енергопостачанні, організованих російською компанією Rostelecom-Solar.
CosmicEnergy націлений на пристрої IEC 60 870−5-104 (IEC-104), включно з віддаленими термінальними пристроями, які використовуються в системах електропередачі в Європі, на Близькому Сході та в Азії. Це шкідливе ПЗ має можливості, схожі з Industroyer 2016 року — особливо небезпечним типом російського шкідливого ПЗ, яке може безпосередньо керувати комутаторами і автоматичними вимикачами підстанцій.
Шкідливе ПЗ складається з двох компонентів: PieHop і LightWork. PieHop, написаний на Python, використовується для роботи на скомпрометованому хості в мережі цілі атаки. Цей компонент підключається до сервера MSSQL і завантажує на нього файли. LightWork, написаний на C++, виконує фактичну роботу з надсилання команд увімкнення або вимкнення під'єднаному промисловому обладнанню за протоколом IEC-104. Зловмиснику для проведення атаки потрібно заразити ПК у мережі постачальника електроенергії, знайти в мережі Microsoft SQL Server, що має доступ до оперативного обладнання, і отримати дані для входу на цей сервер. Потім PieHop запускається на ПК для завантаження LightWork на сервер, який відправляє шкідливі команди підключеним промисловим пристроям.
Поки у дослідників немає «достатніх доказів» для визначення походження або мети шкідливого ПЗ, але вони вважають, що шкідливе ПЗ розробила або Rostelecom-Solar, або асоційована сторона для відтворення реальних сценаріїв атак на активи енергетичної мережі. Незважаючи на те, що в зразку PieHop, отриманому дослідниками, містяться помилки програмної логіки, які заважають йому успішно виконувати свої керівні можливості за протоколом IEC-104, дослідники стверджують, що ці помилки можуть бути легко виправлені.