По словам исследователей, Red Team-инструмент специально разработан для имитации атак.
Исследователи безопасности Mandiant обнаружили новое вредоносное ПО под названием CosmicEnergy, предназначенное для нарушения работы промышленных систем и связанное с ИБ-компанией «Ростелеком-Солар».
Вредоносная программа нацелена на удаленные терминалы (Remote Terminal Unit, RTU), соответствующие стандарту IEC-104, которые обычно используются в операциях по передаче и распределению электроэнергии в Европе, на Ближнем Востоке и в Азии.
CosmicEnergy был обнаружен после того, как образец был загружен на VirusTotal в декабре 2021 года пользователем с российским IP-адресом. Анализ образца выявил несколько аспектов, касающихся CosmicEnergy и его функциональности.
- CosmicEnergy имеет сходство с ВПО Industroyer и Industroyer2, которые использовались в атаках на украинские энергетические компании в 2022 году;
- CosmicEnergy основан на Python и использует библиотеки с открытым исходным кодом для реализации протокола OT;
- Как и Industroyer, CosmicEnergy, вероятно, получает доступ к OT-системам цели через скомпрометированные серверы MSSQL с помощью инструмента для разрушения Piehop.
Оказавшись внутри сети жертв, злоумышленники могут удаленно управлять RTU, выдавая команды IEC-104 «ON» или «OFF» с помощью вредоносного инструмента Lightwork.
Цепочка атаки CosmicEnergy
Mandiant полагает, что обнаруженное вредоносное ПО могло быть разработано в качестве инструмента красной команды, предназначенного для имитации действий ИБ-компании «Ростелеком-Солар». Эксперты Mandiant подозревают, что CosmicEnergy также может использоваться хакерами для разрушительных кибератак на критически важную инфраструктуру, как и другие инструменты красной команды.
«Хотя мы не нашли достаточных доказательств, чтобы определить происхождение или цель CosmicEnergy, мы считаем, что вредоносное ПО, возможно, было разработано либо «Ростелеком-Солар», либо связанной стороной для воссоздания реальных сценариев атак на активы энергосистемы», — заявили исследователи Mandiant.
Стандарт IEC-104 - это часть стандарта IEC Telecontrol Equipment and Systems Standard IEC 60870-5, который предоставляет профиль коммуникации для отправки базовых сообщений между двумя системами в области электротехники и автоматизации систем. Стандарт IEC-104 использует стандартные транспортные профили для доступа к сети IEC 60870-5-101 (также известный как IEC 101) и передает сообщения IEC 101 как данные приложения (L7) по 2404 порту . Стандарт IEC-104 позволяет обмен данными между станцией управления и подстанцией через стандартную сеть TCP/IP. Коммуникация основана на модели клиент-сервер.
03-10-2025, 07:17 PM
Threaded Mode