Цю програму порівнюють із можливостями шкідливого програмного забезпечення, відомого як Industroyer та Industroyer2. Останні дві назви дослідники пов'язують з Sandworm – однією з найбільш кваліфікованих хакерських груп Кремля.
Цікаво Окупанти розсилають українцям повідомлення із закликами до ухилення від мобілізації
Що відомо
- У грудні 2016 року Sandworm застосувала програму Industroyer, щоб спровокувати відключення електроенергії в Києві. У результаті значна частина міста залишилася без світла на годину.
- За рік до того, у 2015-му, 225 000 українців були знеструмлені на шість годин тим же методом.
- Нова версія Industroyer2 з'явилася торік. Вважають, що програму використовували під час третьої атаки на українські електромережі, але її було виявлено і зупинено до того, як вона змогла досягти успіху.
Ці атаки продемонстрували вразливість електроенергетичної інфраструктури та зростаючу майстерність Росії у використанні нападів. Industroyer вирізнявся тим, що досконало володів секретними промисловими процесами, які використовують українські оператори електромереж. Він "спілкувався" з цими системами, щоб дати їм вказівки знеструмити, а потім знову увімкнути лінії підстанцій. Industroyer міг надсилати команди на вимикачі, використовуючи будь-який з чотирьох протоколів промислових систем управління. Шкідливе програмне забезпечення також містило компонент для відключення пристроїв безпеки, відомих як захисні реле, які автоматично припиняють подачу електроенергії в разі виявлення небезпечних режимів, які можуть призвести до катастрофічної фізичної шкоди обладнанню.
Дослідники з Mandiant, яка знайшла CosmicEnergy, пишуть:
"COSMICENERGY є останнім прикладом спеціалізованого шкідливого програмного забезпечення, здатного спричиняти кіберфізичні впливи, які рідко виявляються або розголошуються. Унікальність COSMICENERGY полягає в тому, що, згідно з нашим аналізом, підрядник, можливо, розробив його як інструмент для навчань з перебоїв в електропостачанні, які проводила російська компанія "Ростелеком-Солар", що займається кібербезпекою. Аналіз шкідливого програмного забезпечення та його функціональності показує, що його можливості можна порівняти з тими, що використовувалися в попередніх інцидентах та шкідливих програмах, таких як INDUSTROYER та INDUSTROYER.V2, які були варіантами шкідливого програмного забезпечення, що використовувалися в минулому для впливу на передачу та розподіл електроенергії за стандартом IEC-104.
Виявлення COSMICENERGY ілюструє, що бар'єри для розробки наступальних засобів [у сфері атак на енергоінфраструктуру] знижуються, оскільки зловмисники використовують знання, отримані під час попередніх атак, для розробки нового шкідливого програмного забезпечення. З огляду на те, що зловмисники використовують інструменти "червоних команд" і фреймворки для публічного використання для цілеспрямованої діяльності в реальних умовах, ми вважаємо, що COSMICENERGY становить реальну загрозу для активів електромереж, які постраждали від неї. Власники об'єктів, які використовують пристрої, що відповідають стандарту IEC-104, повинні вжити заходів, щоб запобігти потенційному розгортанню COSMICENERGY в реальних умовах".
Наразі цей зв'язок є непрямим і в основному обмежується натяками в коді, який вказує на те, що він працює з програмним забезпеченням, розробленим для навчань, які спонсорує Кремль. Відповідно до теорії, що CosmicEnergy використовується в так званих навчаннях Red Team, які імітують ворожі хакерські атаки, шкідливе програмне забезпечення не має можливості проникнути в мережу для отримання інформації про оточення, необхідної для здійснення атаки. Цей програмний код містить жорстко закодовані адреси інформаційних об'єктів, які зазвичай асоціюються з перемикачами ліній електропередач або автоматичними вимикачами, але ці відображення потрібно буде налаштувати для конкретної атаки, оскільки вони відрізняються від виробника до виробника.
"З цієї причини конкретні дії, які планує виконати зловмисник, залишаються незрозумілими без додаткових знань про цільові об'єкти", - пишуть дослідники Mandiant.