Mandiant berichtet über eine neue spezialisierte Malware für Operational Technology (OT), die unter dem Namen COSMICENERGY beobachtet wird. Die Malware hat Remote-Terminal-Units (RTUs) als Ziel und könnte so Stromausfälle verursachen.
Laut Mandiant ist die Malware COSMICENERGY dafür konzipiert, Stromausfälle zu verursachen. Dazu interagiert die Malware mit Remote-Terminal-Units (RTUs), die in Europa, Asien und im Nahen Osten üblicherweise für die Stromübertragung und -verteilung eingesetzt werden.
Europäische Stromverteiler in Gefahr
Mandiant vermutet, dass ein Vertragspartner des russischen Cybersecurity-Unternehmens Rostelecom-Solar die Malware möglicherweise als Teil eines Red-Teaming-Tools entwickelt hat, um Stromausfälle zu simulieren. Öffentlichen Quellen zufolge hat Rostelecom-Solar 2019 von der russischen Regierung Subventionen erhalten. Damit sollten Cybersecurity-Experten ausgebildet und Übungen zu Stromausfällen und Notfallmaßnahmen durchgeführt werden.
Angesichts der Tatsache, dass Bedrohungsakteure Red-Team-Tools und öffentliche Exploitation-Frameworks für gezielte Cyberangriffe in freier Wildbahn nutzen, ist Mandiant der Ansicht, dass COSMICENERGY eine „begründete Bedrohung für betroffene Stromversorgungsanlagen“ darstellt.
Die Analyse der Malware und ihrer Funktionsweise zeigt folgende Ergebnisse:
- COSMICENERGY ähnelt den in INDUSTROYER und INDUSTROYER.V2 beobachteten Funktionen.
- COSMICENERGY weist deutliche technische Ähnlichkeiten mit anderen OT-Malware-Familien wie IRONGATE, TRITON und INCONTROLLER auf.
- Diese Beobachtungen deuten darauf hin, dass die Eintrittsbarrieren für offensive OT-Bedrohungen niedriger werden.
Mandiant bietet zum Thema einen englischsprachigen Blogbeitrag zum Thema.
Mehr bei Mandiant.com
Über Mandiant Mandiant ist ein anerkannter Marktführer für dynamische Cyberabwehr, Threat Intelligence und Incident Response. Mit jahrzehntelanger Erfahrung an vorderster Cyberfront hilft Mandiant Unternehmen dabei, sich selbstbewusst und proaktiv gegen Cyber-Bedrohungen zu verteidigen und auf Angriffe zu reagieren. Mandiant ist jetzt Teil von Google Cloud.