PRAWA CZŁOWIEKA / PRZEMOC / SPRAWY SPOŁECZNE

Nowy trend złośliwego oprogramowania wyrządzającego szkody fizyczne. CosmicEnergy powiązany z Rosją wpływa na systemy energetyczne

Śledź nasz kanał na Telegramie

z materiałami niepublikowanymi na naszej stronie

Naukowcy odkryli powiązany z Rosją “szczep” złośliwego oprogramowania – wirusa, który według nich został stworzony do zakłócania wytwarzania energii elektrycznej i… może powodować fizyczne szkody.

Według badaczy z firmy Mandiant (należącej do Google), złośliwe oprogramowanie o nazwie “CosmicEnergy” specjalizuje się w atakowaniu technologii operacyjnych (OT), które monitorują lub kontrolują systemy przemysłowe.

Odkrycie to można dodać do niewielkiego, ale wciąż rosnącego katalogu złośliwego oprogramowania zdolnego do wywoływania skutków fizycznych, które jak napisał Mandiant na swoim blogu, “rzadko są wykrywane lub ujawniane”.

Jest to jednak tylko jedna z osobliwości tego wirusa.

Mandiant wpadł na CosmicEnergy nie podczas analizy ataku, ale poprzez stronę VirusTotal. Jest to popularna witryna (należąca swoją drogą do Google), która pozwala użytkownikom przesyłać złośliwe oprogramowanie do analizy. CosmicEnergy zostało zgłoszone przez użytkownika z Rosji już w grudniu 2021 roku.

Co ciekawe, wirus wygląda tak, że można o nim pierwotnie pomyśleć jak o narzędziu do testowania cyberbezpieczeństwa.

– To co czyni CosmicEnergy wyjątkowym, to fakt, że na podstawie naszej analizy, twórca mógł go opracować jako narzędzie treningowe do symulacji zakłoceń zasilania, realizowanych przez Rostelecom-Solar, rosyjską firmą zajmującą się cyberbezpieczeństwem – można znaleźć dalej na blogu Mandiant.

Istnieje także szansa, że osoba, która opracowała CosmicEnergy, miała złe zamiary. Nie jest też jasne, dlaczego wówczas ktoś miałby przesłać CosmicEnergy do VirusTotal.

– Autorzy wirusów czasami sami przesyłają pliki w celu określenia wskaźników wykrywania w programach antywirusowych. W ten sposób mogą orientować się, jak dobrze jest ukryte ich złośliwe oprogramowanie – powiedział Keith Lunden, kierownaik analizy Mandiant w Google Cloud. – Możliwe też jednak, że zespół ds. cyberbezpieczeństwa w firmie, która stworzyła oprogramowanie, przesłał wirusa do VirusTotal jako środek ostrożności. Możliwe jest również, że przesłał go pracownik niebieskiego zespołu, podczas ćwiczeń w reagowaniu kryzysowym.

Ze względu na sam sposób, w jaki CosmicEnergy został opracowany, powoduje zaniepokojenie u Mandiant oraz innych firm odpowiedzialnych za cyberbezpieczeństwo.

– Odkrycie CosmicEnergy pokazuje, że bariery wejścia dla ofensywnych możliwości OT wciąż się obniżają, ponieważ autorzy wykorzystują wiedzę z wcześniejszych ataków, aby tworzyć nowe złośliwe oprogramowanie – czytamy dalej na stronie Mandiant. – Biorąc pod uwagę, że autorzy zagrożeń używają red teamingu oraz exploitów frameworków, aby ukierunkować konkretne działania, uważamy, że CosmicEnergy stanowi zagrożenie dla zasobów sieci elektrycznej.

Exploitation frameworks to pakiety oprogramowania, które zawierają moduły exploitów (czyli programów lub fragmentów kodu, które opierają się na wykorzystaniu błędów w zabezpieczeniach) oraz szereg innych funkcji. Frameworki pozwalają na wykorzystanie różnych ładunków tych exploitów, aby unikać wykrycia. W grze pojawiają się wówczas tzw. kody powłoki – małe ładunki złośliwego oprogramowania, które są używane do pobierania dodatkowego złośliwego oprogramowania z sieci kontrolowanych przez osoby atakujące. To właśnie kod powłoki umożliwia hackerom infekowanie urządzeń i infiltrowanie celu.

Nie wiadomo, kto jeszcze mógł zyskać dostęp do CosmicEnergy.

– Możliwe, że także inni użytkownicy uzyskali to oprogramowanie w ramach ćwiczeń dotyczących reagowania kryzysowego – mówi dalej Lunden. – Wiemy również o przypadkach, w których rząd rosyjski wykorzystał hackerów do opracowania dla siebie złośliwego oprogramowania. W tym wypadku nie ma bezpośrednich dowodów, ale jest to wyraźna możliwość.

CosmicEnergy, według Christiana Vasqueza z CyberScoop, jest “zaskakująco prosty” – został napisany w stosunkowo łatwym do opanowania języku programowania.

Mandiant twierdzi, że możliwości CosmicEnergy są podobne do złośliwego oprogramowania Industroyer i jego wariantu Industroyer2. Industroyer został wykorzystany w ataku na Ukrainie w 2016 roku, który na godzinę pozbawił prądu część Kijowa. Ponadto na początku rosyjskiej inwazji udaremniono atak z wykorzystaniem Industroyer2.

Uważa się, że za oboma atakami stoją rosyjscy hakerzy, którzy opracowali niszczycielskie złośliwe oprogramowanie operacyjne Trisis. Jednakże Rosja nie jest jedynym krajem, który opracowuje złośliwe oprogramowanie zdolne do wywoływania konsekwencji w świecie fizycznym. Stany Zjednoczone i Izrael podobno współpracowały przy tworzeniu Stuxneta, który wyrządził szkody w irańskim programie nuklearnym, niszcząc część sprzętu labolatoryjnego ponad dekadę temu.

W przypadku CosmicEnergy i podobnych wirusów nie chodzi już o przechwycenie danych z innego komputera – tym razem to, co jest cybernetyczne, uderza w coś, co jest fizyczne. A świat fizyczny odpowiada na ten cybernetyczny atak i staje się od niego zależny. Stwarza to kolejny poziom zagrożenia.

– Pojawienie się CosmicEnergy wskazuje na niepokojący trend – powiedział Dave DeWalt, założyciel i dyrektor zarządzający firmy NightDragon zajmującej się cyberbezpieczeństwem.

Potencjał szkód fizycznych jest wyższy niż szpiegostwo czy przestępczość. Działania takiego złośliwego oprogramowania to w zasadzie elementy działań wojennych. Z każdym dniem rozwijają się nowe możliwości, a wiele firm, jak i krajów ma swoje własne motywacje. W obecnej chwili, kiedy Rosja dostaje regularnie lanie podczas tradycyjnej wojny, w cyberprzestrzeni toczy się kolejna – i nie chodzi tylko o wykradanie danych wywiadowczych, ale uszkodzenia sieci elektrycznych, wodociągowych czy kolejowych.

Śledź nasz kanał na Telegramie

z materiałami niepublikowanymi na naszej stronie
PUBLIKACJA JEST DOSTĘPNA POD LICENCJĄ:

Uznanie autorstwa -
Użycie niekomercyjne 4.0

blank
blank
blank
CZY DLA CIEBIE RÓWNIEŻ JEST WAŻNE
TO O CZYM CZYTASZ?

Nigdy nie było ważniejszego czasu, aby edukować społecznie

ORION Organizacja Społeczna tworzy Publikacje dla osób, które cenią wiedzę opartą na dowodach i sprawdzonych źródłach. Naszym celem jest budowanie świadomego społeczeństwa, dlatego nasze materiały zawsze będą z darmowym dostępem. Jeśli możesz wesprzyj nas dzisiaj, przekazując darowiznę, którą możesz odliczyć od podatku oraz udostępniaj nasze Publikacje swoim przyjaciołom.
blank

Alan O. Grinde

Animator i manager kultury. Koordynator projektów w ORION Organizacja Społeczna. Grafik, web designer, lektor, specjalista od audio masteringu.

Uważasz, że to co robimy jest ważne?

Możemy się rozwijać dzięki Twojemu wsparciu.
Jesteśmy organizacją niezależną od wpływów politycznych oraz biznesowych.
Logo fundacji ORION Organizacja Społeczna

Dane adresowe

  • ul. Hoża 86 lok. 410
  • 00-682 Warszawa
  • Email: orionfm@yahoo.com
  • KRS: 0000499971
  • NIP: 7123285593
  • REGON: 061657570

INFORMACJE

Numer konta (Nest Bank):
92 2530 0008 2041 1071 3655 0001
  • Polityka prywatności
  • Regulamin wpłat darowizn
  • Fundacja Techya

NEWSLETTER

Bądź na bieżąco z istotnymi informacjami z kręgu naszych działań.