Onderzoekers van cybersecuritybedrijf Mandiant hebben een malware ontdekt, CosmicEnergy genaamd, die mogelijk bedoeld is om elektriciteitsnetten en andere kritieke infrastructuren mee te verstoren. De onderzoekers linken de malware aan de Russische Federale Veiligheidsdienst.
Volgens het onderzoek kan de malware worden gericht aan remote terminal units die voldoen aan de IEC-104-standaard. Die worden vaak gebruikt voor de elektriciteitsvoorziening in Europa, het Midden-Oosten en Azië, schrijft Mandiant. De malware kan OT-systemen infiltreren door reeds gehackte mssql-servers uit te buiten. Vervolgens kan CosmicEnergy de rtu's van afstand manipuleren door commando's te geven via de Lightwork-tool, die werkt op het IEC-104-protocol.
Waar de malware precies voor bedoeld is, durft Mandiant niet met zekerheid te zeggen. Wel schrijft het bedrijf dat het op basis van zijn analyse verwacht dat CosmicEnergy is ontwikkeld door de Russische Federale Veiligheidsdienst 'om echte aanvalsscenario's tegen activa van het elektriciteitsnet na te bootsen'. Oftewel, het is mogelijk bedoeld om 'oefenaanvallen' mee uit te voeren, zodat Rusland erachter kan komen in hoeverre de getroffen systemen en netwerken goed beveiligd zijn.
Mandiant ontdekte de malware in december 2021 voor het eerst nadat er een sample werd geüpload naar het VirusTotal-malwareanalyseplatform door een gebruiker met een Russisch IP-adres. Daaruit bleek dat de malware veel gelijkenissen vertoont met de Industroyer-malwarefamilies, die worden gelinkt aan de Sandworm-hackersgroep die gelieerd is aan het Kremlin. Met die malware zijn in het verleden al meermaals cyberaanvallen uitgevoerd. Vorig jaar werd die nog gebruikt om het elektriciteitsnet van Oekraïne aan te vallen. Mandiant zegt overigens niet genoeg bewijs te hebben om er zeker van te zijn dat de CosmicEnergy-malware door dezelfde groep is ontwikkeld.
CosmicEnergy is in tegenstelling tot Industroyer nog niet gebruikt voor een cyberaanval. Mandiant waarschuwt wel dat de malware een 'plausibele dreiging' vormt voor elektriciteitsnetten. De cybersecuritygroep raadt OT-beheerders die gebruikmaken van een apparaat dat compatibel is met IEC-104 aan om actie te ondernemen voor het geval dat de malware in de toekomst wel ingezet wordt.