Naukowcy odkryli powiązany z Rosją “szczep” złośliwego oprogramowania – wirusa, który według nich został stworzony do zakłócania wytwarzania energii elektrycznej i… może powodować fizyczne szkody.
Według badaczy z firmy Mandiant (należącej do Google), złośliwe oprogramowanie o nazwie “CosmicEnergy” specjalizuje się w atakowaniu technologii operacyjnych (OT), które monitorują lub kontrolują systemy przemysłowe.
Odkrycie to można dodać do niewielkiego, ale wciąż rosnącego katalogu złośliwego oprogramowania zdolnego do wywoływania skutków fizycznych, które jak napisał Mandiant na swoim blogu, “rzadko są wykrywane lub ujawniane”.
Jest to jednak tylko jedna z osobliwości tego wirusa.
Mandiant wpadł na CosmicEnergy nie podczas analizy ataku, ale poprzez stronę VirusTotal. Jest to popularna witryna (należąca swoją drogą do Google), która pozwala użytkownikom przesyłać złośliwe oprogramowanie do analizy. CosmicEnergy zostało zgłoszone przez użytkownika z Rosji już w grudniu 2021 roku.
Co ciekawe, wirus wygląda tak, że można o nim pierwotnie pomyśleć jak o narzędziu do testowania cyberbezpieczeństwa.
– To co czyni CosmicEnergy wyjątkowym, to fakt, że na podstawie naszej analizy, twórca mógł go opracować jako narzędzie treningowe do symulacji zakłoceń zasilania, realizowanych przez Rostelecom-Solar, rosyjską firmą zajmującą się cyberbezpieczeństwem – można znaleźć dalej na blogu Mandiant.
Istnieje także szansa, że osoba, która opracowała CosmicEnergy, miała złe zamiary. Nie jest też jasne, dlaczego wówczas ktoś miałby przesłać CosmicEnergy do VirusTotal.
– Autorzy wirusów czasami sami przesyłają pliki w celu określenia wskaźników wykrywania w programach antywirusowych. W ten sposób mogą orientować się, jak dobrze jest ukryte ich złośliwe oprogramowanie – powiedział Keith Lunden, kierownaik analizy Mandiant w Google Cloud. – Możliwe też jednak, że zespół ds. cyberbezpieczeństwa w firmie, która stworzyła oprogramowanie, przesłał wirusa do VirusTotal jako środek ostrożności. Możliwe jest również, że przesłał go pracownik niebieskiego zespołu, podczas ćwiczeń w reagowaniu kryzysowym.
Ze względu na sam sposób, w jaki CosmicEnergy został opracowany, powoduje zaniepokojenie u Mandiant oraz innych firm odpowiedzialnych za cyberbezpieczeństwo.
– Odkrycie CosmicEnergy pokazuje, że bariery wejścia dla ofensywnych możliwości OT wciąż się obniżają, ponieważ autorzy wykorzystują wiedzę z wcześniejszych ataków, aby tworzyć nowe złośliwe oprogramowanie – czytamy dalej na stronie Mandiant. – Biorąc pod uwagę, że autorzy zagrożeń używają red teamingu oraz exploitów frameworków, aby ukierunkować konkretne działania, uważamy, że CosmicEnergy stanowi zagrożenie dla zasobów sieci elektrycznej.
Exploitation frameworks to pakiety oprogramowania, które zawierają moduły exploitów (czyli programów lub fragmentów kodu, które opierają się na wykorzystaniu błędów w zabezpieczeniach) oraz szereg innych funkcji. Frameworki pozwalają na wykorzystanie różnych ładunków tych exploitów, aby unikać wykrycia. W grze pojawiają się wówczas tzw. kody powłoki – małe ładunki złośliwego oprogramowania, które są używane do pobierania dodatkowego złośliwego oprogramowania z sieci kontrolowanych przez osoby atakujące. To właśnie kod powłoki umożliwia hackerom infekowanie urządzeń i infiltrowanie celu.
Nie wiadomo, kto jeszcze mógł zyskać dostęp do CosmicEnergy.
– Możliwe, że także inni użytkownicy uzyskali to oprogramowanie w ramach ćwiczeń dotyczących reagowania kryzysowego – mówi dalej Lunden. – Wiemy również o przypadkach, w których rząd rosyjski wykorzystał hackerów do opracowania dla siebie złośliwego oprogramowania. W tym wypadku nie ma bezpośrednich dowodów, ale jest to wyraźna możliwość.
CosmicEnergy, według Christiana Vasqueza z CyberScoop, jest “zaskakująco prosty” – został napisany w stosunkowo łatwym do opanowania języku programowania.
Mandiant twierdzi, że możliwości CosmicEnergy są podobne do złośliwego oprogramowania Industroyer i jego wariantu Industroyer2. Industroyer został wykorzystany w ataku na Ukrainie w 2016 roku, który na godzinę pozbawił prądu część Kijowa. Ponadto na początku rosyjskiej inwazji udaremniono atak z wykorzystaniem Industroyer2.
Uważa się, że za oboma atakami stoją rosyjscy hakerzy, którzy opracowali niszczycielskie złośliwe oprogramowanie operacyjne Trisis. Jednakże Rosja nie jest jedynym krajem, który opracowuje złośliwe oprogramowanie zdolne do wywoływania konsekwencji w świecie fizycznym. Stany Zjednoczone i Izrael podobno współpracowały przy tworzeniu Stuxneta, który wyrządził szkody w irańskim programie nuklearnym, niszcząc część sprzętu labolatoryjnego ponad dekadę temu.
W przypadku CosmicEnergy i podobnych wirusów nie chodzi już o przechwycenie danych z innego komputera – tym razem to, co jest cybernetyczne, uderza w coś, co jest fizyczne. A świat fizyczny odpowiada na ten cybernetyczny atak i staje się od niego zależny. Stwarza to kolejny poziom zagrożenia.
– Pojawienie się CosmicEnergy wskazuje na niepokojący trend – powiedział Dave DeWalt, założyciel i dyrektor zarządzający firmy NightDragon zajmującej się cyberbezpieczeństwem.
Potencjał szkód fizycznych jest wyższy niż szpiegostwo czy przestępczość. Działania takiego złośliwego oprogramowania to w zasadzie elementy działań wojennych. Z każdym dniem rozwijają się nowe możliwości, a wiele firm, jak i krajów ma swoje własne motywacje. W obecnej chwili, kiedy Rosja dostaje regularnie lanie podczas tradycyjnej wojny, w cyberprzestrzeni toczy się kolejna – i nie chodzi tylko o wykradanie danych wywiadowczych, ale uszkodzenia sieci elektrycznych, wodociągowych czy kolejowych.