Mandiant signale l'observation d'un nouveau logiciel malveillant de technologie opérationnelle (OT) sous le nom de COSMICENERGY. Le logiciel malveillant cible les terminaux distants (RTU) et peut provoquer des pannes de courant.
Selon Mandiant, le logiciel malveillant COSMICENERGY est conçu pour provoquer des pannes de courant. Pour ce faire, le logiciel malveillant interagit avec les terminaux distants (RTU), qui sont couramment utilisés pour la transmission et la distribution d'électricité en Europe, en Asie et au Moyen-Orient.
Les distributeurs d'électricité européens menacés
Mandiant soupçonne qu'un sous-traitant de la société russe de cybersécurité Rostelecom-Solar a peut-être développé le logiciel malveillant dans le cadre d'un outil d'équipe rouge pour simuler des pannes de courant. Selon des sources publiques, Rostelecom-Solar a reçu des subventions du gouvernement russe en 2019. Il s'agissait de former des experts en cybersécurité et de mener des exercices sur les pannes de courant et les interventions d'urgence.
Alors que les acteurs de la menace utilisent les outils Red Team et les cadres d'exploitation publics pour lancer des cyberattaques ciblées dans la nature, Mandiant pense que COSMICENERGY représente une "menace raisonnable pour les actifs énergétiques concernés".
L'analyse du logiciel malveillant et de son fonctionnement montre les résultats suivants :
- COSMICENERGY est similaire aux fonctionnalités observées dans INDUSTROYER et INDUSTROYER.V2.
- COSMICENERGY partage des similitudes techniques évidentes avec d'autres familles de logiciels malveillants OT tels que IRONGATE, TRITON et INCONTROLLER.
- Ces observations suggèrent que les barrières à l'entrée pour les menaces OT offensives diminuent.
Mandiant propose un article de blog en anglais sur le sujet.
Plus sur Mandiant.com
À propos des clients Mandiant est un leader reconnu de la cyberdéfense dynamique, des renseignements sur les menaces et de la réponse aux incidents. Avec des décennies d'expérience sur la cyber ligne de front, Mandiant aide les organisations à se défendre en toute confiance et de manière proactive contre les cybermenaces et à répondre aux attaques. Mandiant fait désormais partie de Google Cloud.