بدافزار روسی شبکه‌های انرژی را هدف می‌گیرد

 به گزارش کارگروه حملات سایبری سایبربان، بدافزار جدیدی که محققان امنیت سایبری آن را به روسیه نسبت داده‌اند برای از بین بردن شبکه‌های برق طراحی شده است. این بدافزار توسط محققان تهدید Mandiant شناسایی شده است و این محققان از شرکت‌های انرژی خواسته‌اند برای کاهش این تهدید، هرچه سریع‌تر اقدام کنند.

بدافزار تخصصی فناوری عملیاتی (OT) که COSMICENERGY نامیده می‌شود، شباهت‌هایی با بدافزارهای مورد استفاده در حملات قبلی که شبکه‌های برق را هدف قرار داده بودند از جمله حادثه «Industroyer» که در سال ۲۰۱۶ در کیف اوکراین باعث قطعی برق شد، دارد.
 

COSMICENERGY برای مختل کردن برق از طریق تعامل با دستگاه‌های استاندارد IEC 60870-5-104 (IEC-104) مانند واحدهای پایانه راه دور طراحی شده است. این دستگاه‌ها معمولاً در عملیات انتقال و توزیع برق در اروپا، خاورمیانه و آسیا مورد استفاده قرار می‌گیرند.
 

به طور مشابه، در حمله Industroyer در سال ۲۰۱۶ که گمان می‌رود توسط گروه روسی APT Sandworm انجام شده باشد، بدافزار، دستورات IEC-104 ON/OFF را برای تعامل با RTUها صادر کرد و ممکن است از یک سرور MSSQL به عنوان یک سیستم مجرا برای دسترسی استفاده کرده باشد.
 

این امر مهاجمان را قادر می‌سازد تا دستورات از راه دور را ارسال کنند تا بر فعال‌سازی کلیدهای خط برق و قطع کننده‌های مدار تأثیر بگذارند و در نتیجه باعث قطع برق شود.