par 
Les chercheurs en sécurité ont découvert un nouveau logiciel malveillant de système de contrôle industriel, surnommé “CosmicEnergy”, qui, selon eux, pourrait être utilisé pour perturber les systèmes d’infrastructure critiques et les réseaux électriques.
Le malware a été découvert par des chercheurs de Mandiant, qui ont comparé les capacités de CosmicEnergy au malware destructeur Industroyer que le groupe de piratage “Sandworm” soutenu par l’État russe a utilisé pour couper le courant en Ukraine en 2016.
De manière inhabituelle, Mandiant dit avoir découvert CosmicEnergy grâce à la chasse aux menaces et non à la suite d’une cyberattaque sur une infrastructure critique. Le logiciel malveillant a été téléchargé sur VirusTotal, un scanner de logiciels malveillants et de virus appartenant à Google, en décembre 2021 par un émetteur basé en Russie, selon Mandiant. L’analyse de la société de cybersécurité montre que le malware a peut-être été développé par Rostelecom-Solar, la branche cybersécurité de l’opérateur national de télécommunications russe Rostelecom, pour soutenir des exercices tels que ceux organisés en collaboration avec le ministère russe de l’Énergie en 2021.
“Un entrepreneur peut l’avoir développé comme un outil d’équipe rouge pour des exercices de simulation de coupure de courant hébergés par Rostelecom-Solar”, a déclaré Mandiant. “Cependant, étant donné le manque de preuves concluantes, nous considérons qu’il est également possible qu’un acteur différent – avec ou sans autorisation – ait réutilisé le code associé à la gamme cyber pour développer ce malware.”
Mandiant affirme que non seulement les pirates s’adaptent et utilisent régulièrement les outils de l’équipe rouge pour faciliter les attaques dans le monde réel, mais son analyse de CosmicEnergy révèle que la fonctionnalité du logiciel malveillant est également comparable à celle d’autres variantes de logiciels malveillants ciblant les systèmes de contrôle industriels (ICS), comme Industroyer, posant ainsi une “menace plausible pour les actifs du réseau électrique concernés”.
Mandiant dit à TechCrunch qu’il n’a observé aucune attaque CosmicEnergy dans la nature et note que le malware manque de capacités de découverte, ce qui signifie que les pirates devraient effectuer une reconnaissance interne pour obtenir des informations sur l’environnement, telles que les adresses IP et les informations d’identification, avant de lancer une attaque.
Cependant, les chercheurs ont ajouté que parce que le logiciel malveillant cible l’IEC-104, un protocole réseau couramment utilisé dans les environnements industriels qui a également été ciblé lors de l’attaque de 2016 contre le réseau électrique ukrainien, CosmicEnergy constitue une menace réelle pour les organisations impliquées dans la transmission et la distribution d’électricité.
“La découverte de nouveaux OT [operational technology] Les logiciels malveillants présentent une menace immédiate pour les organisations concernées car ces découvertes sont rares et parce que les logiciels malveillants tirent principalement parti des fonctionnalités non sécurisées de conception des environnements OT qui ne seront probablement pas corrigées de sitôt », ont averti les chercheurs de Mandiant.
La découverte par Mandiant d’un nouveau malware orienté ICS intervient après que Microsoft a révélé cette semaine que des pirates informatiques soutenus par l’État chinois avaient piraté l’infrastructure critique américaine. Selon le rapport, un groupe d’espionnage que Microsoft appelle “Volt Typhoon” a ciblé le territoire insulaire américain de Guam et pourrait tenter de “perturber les infrastructures de communication critiques entre les États-Unis et la région asiatique lors de futures crises”.
À la lumière du rapport, le gouvernement américain a déclaré qu’il travaillait avec ses partenaires Five Eyes pour identifier les violations potentielles. Microsoft affirme que le groupe a tenté d’accéder à des organisations dans les secteurs des communications, de la fabrication, des services publics, des transports, de la construction, maritime, gouvernemental, des technologies de l’information et de l’éducation.
rewrite this content and keep HTML tags
Les chercheurs en sécurité ont découvert un nouveau logiciel malveillant de système de contrôle industriel, surnommé “CosmicEnergy”, qui, selon eux, pourrait être utilisé pour perturber les systèmes d’infrastructure critiques et les réseaux électriques.
Le malware a été découvert par des chercheurs de Mandiant, qui ont comparé les capacités de CosmicEnergy au malware destructeur Industroyer que le groupe de piratage “Sandworm” soutenu par l’État russe a utilisé pour couper le courant en Ukraine en 2016.
De manière inhabituelle, Mandiant dit avoir découvert CosmicEnergy grâce à la chasse aux menaces et non à la suite d’une cyberattaque sur une infrastructure critique. Le logiciel malveillant a été téléchargé sur VirusTotal, un scanner de logiciels malveillants et de virus appartenant à Google, en décembre 2021 par un émetteur basé en Russie, selon Mandiant. L’analyse de la société de cybersécurité montre que le malware a peut-être été développé par Rostelecom-Solar, la branche cybersécurité de l’opérateur national de télécommunications russe Rostelecom, pour soutenir des exercices tels que ceux organisés en collaboration avec le ministère russe de l’Énergie en 2021.
“Un entrepreneur peut l’avoir développé comme un outil d’équipe rouge pour des exercices de simulation de coupure de courant hébergés par Rostelecom-Solar”, a déclaré Mandiant. “Cependant, étant donné le manque de preuves concluantes, nous considérons qu’il est également possible qu’un acteur différent – avec ou sans autorisation – ait réutilisé le code associé à la gamme cyber pour développer ce malware.”
Mandiant affirme que non seulement les pirates s’adaptent et utilisent régulièrement les outils de l’équipe rouge pour faciliter les attaques dans le monde réel, mais son analyse de CosmicEnergy révèle que la fonctionnalité du logiciel malveillant est également comparable à celle d’autres variantes de logiciels malveillants ciblant les systèmes de contrôle industriels (ICS), comme Industroyer, posant ainsi une “menace plausible pour les actifs du réseau électrique concernés”.
Mandiant dit à TechCrunch qu’il n’a observé aucune attaque CosmicEnergy dans la nature et note que le malware manque de capacités de découverte, ce qui signifie que les pirates devraient effectuer une reconnaissance interne pour obtenir des informations sur l’environnement, telles que les adresses IP et les informations d’identification, avant de lancer une attaque.
Cependant, les chercheurs ont ajouté que parce que le logiciel malveillant cible l’IEC-104, un protocole réseau couramment utilisé dans les environnements industriels qui a également été ciblé lors de l’attaque de 2016 contre le réseau électrique ukrainien, CosmicEnergy constitue une menace réelle pour les organisations impliquées dans la transmission et la distribution d’électricité.
“La découverte de nouveaux OT [operational technology] Les logiciels malveillants présentent une menace immédiate pour les organisations concernées car ces découvertes sont rares et parce que les logiciels malveillants tirent principalement parti des fonctionnalités non sécurisées de conception des environnements OT qui ne seront probablement pas corrigées de sitôt », ont averti les chercheurs de Mandiant.
La découverte par Mandiant d’un nouveau malware orienté ICS intervient après que Microsoft a révélé cette semaine que des pirates informatiques soutenus par l’État chinois avaient piraté l’infrastructure critique américaine. Selon le rapport, un groupe d’espionnage que Microsoft appelle “Volt Typhoon” a ciblé le territoire insulaire américain de Guam et pourrait tenter de “perturber les infrastructures de communication critiques entre les États-Unis et la région asiatique lors de futures crises”.
À la lumière du rapport, le gouvernement américain a déclaré qu’il travaillait avec ses partenaires Five Eyes pour identifier les violations potentielles. Microsoft affirme que le groupe a tenté d’accéder à des organisations dans les secteurs des communications, de la fabrication, des services publics, des transports, de la construction, maritime, gouvernemental, des technologies de l’information et de l’éducation.
