2023: Распространение вируса, уничтожающего электросети
25 мая 2023 года американская компания по кибербезопасности Mandiant сообщила о появлении опасной вредоносной программы, способной физически уничтожать оборудование в составе критически важных инфраструктур, включая электрические сети.
Зловред получил название CosmicEnergy. Его образец был загружен на проверку в сервис VirusTotal ещё в декабре 2021 года, но на анализ кода потребовалось значительное время. Эксперты Mandiant выяснили, что по своей функциональности CosmicEnergy схож с Industroyer — крайне опасной вредоносной программой, предназначенной для нарушения критических процессов в промышленных системах управления. Зловред, в частности, позволяет злоумышленникам напрямую управлять выключателями и прерывателями цепи на электрических подстанциях. Киберпреступники могут, например, спровоцировать отключение подачи электроэнергии или даже полностью вывести оборудование из строя.
CosmicEnergy использует протокол IEC 60870-5-104 (IEC-104), благодаря чему может взаимодействовать со специализированными устройствами связи с объектом (RTU). Такое оборудование обычно применяется в электроэнергетике в Европе, на Ближнем Востоке и в Азии. Как заявляет Mandiant, содержащаяся в коде CosmicEnergy информация указывает на то, что программа могла быть создана в рамках учений по моделированию отключения электроэнергии, организованных компанией «Ростелеком-Солар».
Сообщается также, что CosmicEnergy имеет техническое сходство с другими вредоносными программами, специально разработанными для атак на промышленные объекты. Это, в частности, зловред Triton, который использовался при кибератаке на нефтехимическое предприятие в Саудовской Аравии в 2017 году, а также вирус Incontroller, созданный для манипулирования промышленными процессами.[1]
