Исследователи кибербезопасности обнаружили новое вредоносное ПО под названием CosmicEnergy, которое предназначено для нарушения работы критически важной инфраструктуры, такой как электрические сети. Считается, что это вредоносное ПО похоже на Sandworm, печально известную вредоносную программу, спонсируемую российским государством, которая атаковала украинские электросети в 2016 году. Однако CosmicEnergy была обнаружена не после инцидента с безопасностью, а путем преследования угроз. Зловред был загружен на VirusTotal полтора года назад кем-то из России, где его подобрали исследователи Mandiant. Исследователи полагают, что вредоносное ПО было разработано Ростелеком-Солар, подразделением кибербезопасности национального оператора связи России, в учебных целях. Он был создан, скорее всего, для обучения ИТ-отдела тому, как действовать в случае реальной атаки на сеть. Одно из таких учений было проведено совместно с Министерством энергетики России в 2021 году.
Исследователи заявляют, что «подрядчик, возможно, разработал его как красный инструмент совместной работы для имитации учений по отключению электроэнергии, организованных «Ростелеком-Солар». Однако они также считают возможным повторное использование кода, связанного с интернет-доменом, для разработки этого вредоносного ПО другим лицом, с разрешением или без такового. Хотя сообщения CosmicEnergy предполагают, что его можно использовать в реальной атаке, исследователи не могут исключить возможность того, что вредоносное ПО было разработано исключительно в учебных целях.
Исследователи сообщили TechCrunch, что вредоносное ПО не было замечено в дикой природе и «не имеет возможностей обнаружения», а это означает, что злоумышленникам сначала необходимо будет вернуть такие вещи, как IP-адреса и учетные данные, в скомпрометированную сеть, прежде чем они смогут начать атаку. Однако из-за отсутствия убедительных доказательств исследователи не могут исключить возможность того, что в реальной атаке использовалась космическая энергия.
Обнаружение вредоносных программ OT представляет собой непосредственную угрозу для затронутых организаций, поскольку такие обнаружения случаются редко. Кроме того, вредоносное ПО использует небезопасные конструктивные особенности сред OT, которые вряд ли будут устранены в ближайшее время. Исследователи пришли к выводу, что организациям необходимо проявлять бдительность и принимать упреждающие меры для защиты своей критической инфраструктуры от потенциальных атак.