Обнаружено вредоносное ПО CosmicEnergy, которое Кремль использует для обучения хакеров

Александр Гайдамашко

Источник:

ArsTechnica

Специалисты Mandiant проанализировали программу обучения кремлевских хакеров

Иллюстративное фото / Unsplash

CosmicEnergy – программное обеспечение для перебоев в электроснабжении. Исследователи утверждают, что эта невиданная ранее программа может использоваться в российских учениях, в том числе для атак на украинскую энергоинфраструктуру.

Это приложение сравнивается с возможностями вредоносного программного обеспечения, известного как Industroyer и Industroyer2. Последние два названия исследователи связывают с Sandworm – одной из самых квалифицированных хакерских групп Кремля.

Интересно Оккупанты рассылают украинцам сообщения с призывами к уклонению от мобилизации

Что известно

В декабре 2016 года Sandworm применила программу Industroyer, чтобы спровоцировать отключение электроэнергии в Киеве. В результате значительная часть города осталась без света в час.
За год до того, в 2015 году, 225 000 украинцев были обесточены на шесть часов тем же методом.
Новая версия Industroyer2 появилась в прошлом году. Считают, что программу использовали во время третьей атаки на украинские электросети, но она была обнаружена и остановлена до того, как смогла добиться успеха.

Эти атаки продемонстрировали уязвимость электроэнергетической инфраструктуры и растущее мастерство России в использовании нападений. Industroyer отличался тем, что в совершенстве владел секретными промышленными процессами, которые используют украинские операторы электросетей. Он "общался" с этими системами, чтобы дать им указания обесточить, а затем снова включить линии подстанций. Industroyer мог отправлять команды на выключатели, используя любой из четырех протоколов промышленных систем управления. Вредоносное программное обеспечение также содержало компонент для отключения устройств безопасности, известных как защитные реле, которые автоматически прекращают подачу электроэнергии в случае обнаружения опасных режимов, которые могут привести к катастрофическому физическому ущербу оборудованию.

Исследователи из Mandiant, нашедшей CosmicEnergy, пишут:

"COSMICENERGY является последним примером специализированного вредоносного программного обеспечения, способного вызывать киберфизические воздействия, которые редко выявляются или разглашаются. Уникальность COSMICENERGY заключается в том, что, согласно нашему анализу, подрядчик, возможно, разработал его как инструмент для обучения перебоям в электроснабжении, которые проводила российская компания "Ростелеком-Солар", занимающаяся кибербезопасностью. Анализ вредоносного программного обеспечения и его функциональности показывает, что его возможности сопоставимы с теми, что использовались в предыдущих инцидентах и вредоносных программах, таких как INDUSTROYER и INDUSTROYER.V2, которые были вариантами вредоносного программного обеспечения, использовавшихся в прошлом для воздействия на передачу и распределение электроэнергии по стандарту IEC-104.

Обнаружение COSMICENERGY иллюстрирует, что барьеры для разработки наступательных средств [в сфере атак на энергоинфраструктуру] снижаются, поскольку злоумышленники используют знания, полученные во время предыдущих атак, для разработки нового вредоносного программного обеспечения. Учитывая то, что злоумышленники используют инструменты "красных команд" и фреймворки для публичного использования для целенаправленной деятельности в реальных условиях, мы считаем, что COSMICENERGY представляет реальную угрозу для активов электросетей, пострадавших от нее. Владельцы объектов, использующих устройства, соответствующие стандарту IEC-104, должны принять меры, чтобы предотвратить потенциальное развертывание COSMICENERGY в реальных условиях".

Пока эта связь является косвенной и в основном ограничивается намеками в коде, который указывает на то, что он работает с программным обеспечением, разработанным для учений, которые спонсирует Кремль. Согласно теории, что CosmicEnergy используется в так называемых учениях Red Team, которые имитируют вражеские хакерские атаки, вредоносное программное обеспечение не имеет возможности проникнуть в сеть для получения информации об окружении, необходимой для осуществления атаки. Этот программный код содержит жестко закодированные адреса информационных объектов, которые обычно ассоциируются с переключателями линий электропередач или автоматическими выключателями, но эти отображения нужно будет настроить для конкретной атаки, поскольку они отличаются от производителя к производителю.

"По этой причине конкретные действия, которые планирует выполнить злоумышленник, остаются непонятными без дополнительных знаний о целевых объектах", – пишут исследователи Mandiant.