Росіяни створили новий вірус, здатний атакувати електромережі
Фахівці компанії Mandiant виявили підозріле шкідливе ПЗ, імовірно розроблене російським підрядником, яке було створено для порушення роботи енергетичних мереж у Європі, Азії та на Близькому Сході. Шкідливе ПЗ, що отримало назву CosmicEnergy, було помічено після його завантаження на VirusTotal.
На думку команди, найімовірніше, автори вірусу створили шкідливе ПЗ в якості інструменту для тренування своїх команд під час проведення навчань з імітації перебоїв в енергопостачанні, організованих російською компанією Rostelecom-Solar.
CosmicEnergy націлений на пристрої IEC 60 870−5-104 (IEC-104), включно з віддаленими термінальними пристроями, які використовуються в системах електропередачі в Європі, на Близькому Сході та в Азії. Це шкідливе ПЗ має можливості, схожі з Industroyer 2016 року — особливо небезпечним типом російського шкідливого ПЗ, яке може безпосередньо керувати комутаторами і автоматичними вимикачами підстанцій.
Шкідливе ПЗ складається з двох компонентів: PieHop і LightWork. PieHop, написаний на Python, використовується для роботи на скомпрометованому хості в мережі цілі атаки. Цей компонент підключається до сервера MSSQL і завантажує на нього файли. LightWork, написаний на C++, виконує фактичну роботу з надсилання команд увімкнення або вимкнення під'єднаному промисловому обладнанню за протоколом IEC-104. Зловмиснику для проведення атаки потрібно заразити ПК у мережі постачальника електроенергії, знайти в мережі Microsoft SQL Server, що має доступ до оперативного обладнання, і отримати дані для входу на цей сервер. Потім PieHop запускається на ПК для завантаження LightWork на сервер, який відправляє шкідливі команди підключеним промисловим пристроям.
Поки у дослідників немає «достатніх доказів» для визначення походження або мети шкідливого ПЗ, але вони вважають, що шкідливе ПЗ розробила або Rostelecom-Solar, або асоційована сторона для відтворення реальних сценаріїв атак на активи енергетичної мережі. Незважаючи на те, що в зразку PieHop, отриманому дослідниками, містяться помилки програмної логіки, які заважають йому успішно виконувати свої керівні можливості за протоколом IEC-104, дослідники стверджують, що ці помилки можуть бути легко виправлені.