Un nouveau malware russe pourrait être destiné à attaquer les réseaux électriques – Informatique – Actualités

Des chercheurs de la société de cybersécurité Mandiant ont découvert un malware appelé CosmicEnergy qui pourrait être destiné à perturber les réseaux électriques et d’autres infrastructures critiques. Les chercheurs relient le logiciel malveillant au Service fédéral de sécurité russe.

Selon la recherche, le malware peut être ciblé pour unités terminales à distance conformes à la norme IEC-104. Ils sont souvent utilisés pour l’approvisionnement en électricité en Europe, au Moyen-Orient et en Asie, écrit Mandiant. Le logiciel malveillant peut OTinfiltrer les systèmes en exploitant les serveurs mssql déjà piratés. CosmicEnergy peut ensuite manipuler les RTU à distance en émettant des commandes via l’outil Lightwork, qui s’exécute sur le protocole IEC-104.

Mandiant n’ose pas dire avec certitude à quoi est destiné le malware. Cependant, la société écrit que sur la base de son analyse, elle s’attend à ce que CosmicEnergy ait été développé par le Service fédéral de sécurité russe “pour simuler des scénarios d’attaque réels contre des actifs du réseau électrique”. En d’autres termes, il peut s’agir de mener des “attaques d’entraînement”, afin que la Russie puisse déterminer dans quelle mesure les systèmes et réseaux concernés sont correctement sécurisés.

Mandiant a découvert le malware pour la première fois en décembre 2021 après qu’un échantillon a été téléchargé sur la plateforme d’analyse de malware VirusTotal par un utilisateur avec une adresse IP russe. Il a constaté que le malware présente de nombreuses similitudes avec les familles de malware Industroyer, qui sont liées au groupe de hackers Sandworm affilié au Kremlin. Dans le passé, des cyberattaques ont été menées à plusieurs reprises avec ce logiciel malveillant. L’année dernière, il a été utilisé pour attaquer le réseau électrique ukrainien. Incidemment, Mandiant dit qu’il n’a pas suffisamment de preuves pour être sûr que le malware CosmicEnergy a été développé par le même groupe.

Contrairement à Industroyer, CosmicEnergy n’a pas encore été utilisé pour une cyberattaque. Mandiant avertit que le logiciel malveillant constitue une “menace plausible” pour les réseaux électriques. Le groupe de cybersécurité recommande aux administrateurs OT utilisant un appareil conforme à la norme IEC-104 de prendre des mesures au cas où le logiciel malveillant serait déployé à l’avenir.