セキュリティ業者Mandiantは最近、新型のマルウェア、CosmicEnergyを発見しました。このマルウェアはロシアと関連があり、特に電力供給の中断を狙った工業制御システム(ICS)を対象としています。操作技術(OT)を目指すこの新しいマルウェアシリーズは、IEC 60870-5-104 (IEC-104)機器とインタラクションするように設計されており、遠隔コマンドを送信して電力ラインのスイッチとブレーカーの状態を操作し、電力供給の中断を引き起こすことを目指しています。Mandiantによれば、CosmicEnergyは影響を受ける電力供給資産に対して「合理的な脅威」を構成しています。
CosmicEnergyマルウェアには主に二つのコンポーネントがあります。一つはLightWorkで、IEC-104プロトコルを実行し、リモート端末ユニット(RTU)の状態をオン/オフに変更します。もう一つはPieHopで、指定されたリモートMSSQLサーバーに接続し、LightWorkを使用してファイルをアップロードし、RTUにリモートコマンドを送信します。しかしながら、このマルウェアは攻撃を実行するために必要な情報、例えばIPアドレスや認証情報を自動的に収集することはできません。したがって、攻撃者はこれらの情報を手動で収集する必要があります。
Mandiantの調査によれば、このマルウェアは、ロシアのサイバーセキュリティ企業であるRostelecom-Solarの契約者が作成した可能性があります。同社は2019年にロシア政府から補助金を受け取り、サイバーセキュリティ専門家の訓練と電力供給の中断と緊急対応演習を開始しました。CosmicEnergyは、2021年または2022年の演習で使用された可能性があります。
しかし、Mandiantは具体的な証拠が不足していることを考慮に入れ、別の参加者がネットワーク範囲のコードを再利用してこの種のマルウェアを開発した可能性もあると指摘しています。
CosmicEnergyの機能は、過去にウクライナのエネルギーセクターを狙ったロシアのマルウェア、IndustroyerとIndustroyer2を思い起こさせます。さらに、このマルウェアは技術的には他のOTマルウェアファミリー、例えばTritonやIncontrollerと似ており、これらのマルウェアも物理的なダメージや中断を引き起こすことを目指しています。この種の脅威は、工業制御システムのセキュリティを重要な課題として浮き彫りにしています。
コメント