COSMICENERGY マルウェアはロシアの緊急事態対応訓練の産物である可能性がある from securityboulevard.com

マルウェアは、リモート端末装置 (RTU) やその他の IEC 104 デバイスによって電力を遮断することを目的としており、ロシアの緊急時対応演習に関連している可能性があります。
「COSMICENERGYは、サイバー物理的影響を引き起こす可能性のある特殊なOTマルウェアの最新の例であり、これはめったに発見されたり公表されたりすることはない」と研究者らはブログ投稿で述べた。
この事件では、IEC-104 ON/OFF コマンドが RTU と対話し、MSSQL サーバーが OT にアクセスするための経路として使用された可能性があります。
研究者らは、この新しいマルウェアがアクセスを悪用して、「リモートコマンドを送信して、電力線のスイッチや回路ブレーカーの作動に影響を与え、停電を引き起こす可能性がある。COSMICENERGYは、その2つの派生コンポーネントを通じてこれを実現する」と述べ、マンディアントはこれらをPIEHOPとLIGHTWORKとして追跡している。
C++で書かれた新たなマルウェアの鍵となるもう一つの破壊ツールであるLIGHTWORKは、「TCP経由でRTUの状態を変更するためのIEC-104プロトコルを実装している」とマンディアント氏は述べた。
COSMICENERGY には検出機能がないため、マルウェア オペレーターは、MSSQL サーバーの IP アドレスや資格情報などの環境情報を取得するために内部偵察を実行する必要がある可能性があります。