破坏全球电力供应！恶意软件 Cosmic Energy 对电网构成直接威胁

近日，Mandiant威胁研究人员发现了旨在破坏电网的、与俄罗斯相关的新型恶意软件，他们敦促能源公司采取行动减轻这种“直接威胁”。

这种名为Cosmic Energy的专业操作技术 (OT) 恶意软件与之前针对电网的攻击中使用的恶意软件有相似之处，包括2016 年在乌克兰基辅发生的“Industroyer”事件。

Cosmic Energy 旨在通过与 IEC 60870-5-104 (IEC-104) 标准设备（例如远程终端单元）交互来中断电力。这些设备通常用于欧洲、中东和亚洲的输电和配电业务。

同样，在 2016 年的 Industroyer 攻击中，据了解由俄罗斯 APT 组织 Sandworm 实施，该恶意软件发出 IEC-104 ON/OFF 命令与 RTU 交互，并且可能利用 MSSQL 服务器作为管道系统来访问加时赛。

这使攻击者能够发送远程命令来影响电力线开关和断路器的启动，从而导致电力中断。

Mandiant 表示，Cosmic Energy 于 2021 年 12 月由俄罗斯的提交者上传到公共恶意软件扫描实用程序。有趣的是，根据其随后的分析，该公司认为俄罗斯网络安全公司 Rostelecom-Solar 或承包商最初可能开发了用于培训目的的恶意软件——重建针对能源电网资产的真实攻击场景。

Mandiant 研究人员表示，威胁行为者可能会在未经许可的情况下重复使用与网络范围相关的代码来开发这种恶意软件。

这使得 Cosmic Energy 有别于之前旨在破坏能源网络的 OT 恶意软件——因为威胁行为者正在利用从之前的攻击中获得的知识来创建新的攻击工具，从而降低了进入攻击 OT 系统的门槛。

这尤其令人担忧，“因为我们通常观察到这些类型的能力仅限于资源充足或国家资助的参与者。”

因此，研究人员警告说：“鉴于威胁行为者使用红队工具和公共开发框架在野外进行有针对性的威胁活动，我们认为 Cosmic Energy 对受影响的电网资产构成了合理的威胁。利用符合 IEC-104 标准的设备的 OT 资产所有者应采取行动，抢占 Cosmic Energy 野外部署的潜力。”

该团队指出，Cosmic Energy 缺乏发现能力，“这意味着要成功执行攻击，恶意软件操作员需要执行一些内部侦察以获取环境信息。”