セキュリティ研究者らは、「CosmicEnergy」と呼ばれる新たな産業用制御システムのマルウェアを発見し、これは重要なインフラシステムや送電網を混乱させるために使用される可能性があるとしている。
このマルウェアはマンディアント社の研究者らによって発見され、彼らはコスミックエナジーの能力を、2016年にロシア国家支援のハッカー集団「サンドワーム」がウクライナの停電に使用した破壊的なインダストロイア・マルウェアに例えている。
珍しいことに、マンディアント社は、重要インフラへのサイバー攻撃を追跡するのではなく、脅威ハンティングによってCosmicEnergyを発見したと述べている。 Mandiant によると、このマルウェアは、2021 年 12 月にロシアに拠点を置く提出者によって、Google 所有のマルウェアおよびウイルス スキャナである VirusTotal にアップロードされました。 サイバーセキュリティ会社の分析によると、このマルウェアは、ロシア国営通信事業者ロステレコムのサイバーセキュリティ部門であるロステレコム・ソーラーによって、主催された演習などの演習を支援するために開発された可能性があることが示されている。 ロシアエネルギー省との協力 2021年に。
「請負業者が、ロステレコム・ソーラーが主催する停電模擬訓練のためのレッドチームツールとして開発した可能性がある」とマンディアント氏は述べた。 「しかし、決定的な証拠が不足していることを考えると、許可の有無にかかわらず、別の攻撃者がサイバー範囲に関連するコードを再利用してこのマルウェアを開発した可能性もあると考えています。」
マンディアントによれば、ハッカーは現実世界の攻撃を促進するためにレッド チーム ツールを定期的に適応させて利用しているだけでなく、CosmicEnergy の分析により、このマルウェアの機能が産業用制御システム (ICS) をターゲットとする他のマルウェア亜種の機能と同等であることが明らかになりました。インダストロイアなどの企業は、「影響を受ける電力網資産に対するもっともらしい脅威」をもたらしている。
Mandiant氏はTechCrunchに対し、実際のCosmicEnergy攻撃は観察されていないと述べ、このマルウェアには検出機能が欠けていると指摘した。つまり、ハッカーは攻撃を開始する前に、IPアドレスや資格情報などの環境情報を入手するために内部偵察を行う必要があると指摘している。
しかし研究者らは、このマルウェアは産業環境で一般的に使用されているネットワークプロトコルであるIEC-104をターゲットにしており、2016年のウクライナの電力網への攻撃でも標的となっているため、CosmicEnergyは送電と配電に関わる組織にとって真の脅威となると付け加えた。
「新たなOTの発見」 [operational technology] このような発見はまれであり、マルウェアは主に、すぐには改善されそうもない OT 環境の安全でない設計上の機能を利用するため、マルウェアは影響を受けた組織に差し迫った脅威をもたらします」とマンディアントの研究者は警告しました。
マンディアントによる新たなICS指向マルウェアの発見は、今週マイクロソフトが中国国家支援のハッカーが米国の重要インフラをハッキングしたことを明らかにした後に行われた。 によると レポート、マイクロソフトが「ボルト・タイフーン」と呼ぶスパイ集団は、米国領グアムを標的にしており、「将来の危機の際に米国とアジア地域の間の重要な通信インフラを妨害」しようとしている可能性がある。
この報告書を踏まえ、米国政府はファイブ・アイズのパートナーと協力して潜在的な侵害の特定に取り組んでいると述べた。 Microsoftによると、このグループは通信、製造、公益事業、運輸、建設、海事、政府、情報技術、教育分野の組織へのアクセスを試みたという。