Olyan malware-t, azaz rosszindulatú szoftvert fedeztek fel, amely képes lehet akár egy teljes ország áramellátását megakasztani - írják a Mandiant IT-biztonsági cég kutatói. A CosmicEnergy nevű kártevő hasonlít a korábban észlelt Industroyer és Industroyer 2 malware-ek működéséhez. Mindkét szoftver a Sandworm orosz hackercsoporthoz köthető, a most kiszúrt malware-ről is azt feltételezik, hogy az Ukrajna elleni orosz háború során vethetik be.
A Sandworm 2016 decemberében vetette be az Industroyer-t, amellyel Kijev áramellátását akasztották meg, az eset során az ukrán fővárosban ezrek maradtak áram nélkül. Ezt megelőzően, 2015-ben is sor került egy hasonló támadásra, amikor a BlackEnergy nevű szoftver bevetését követően 225 ezer ukránnak kellett hat órán keresztül nélkülöznie az elektromosság áldásait.
Az Industroyer 2-re tavaly figyeltek fel az IT-biztonsági szakemberek. A kártevőt az ukrán energia-infrastruktúra elleni támadás során próbálták meg felhasználni, ezt azonban még időben sikerült megakadályozni. Az eset így is rávilágított, hogy mennyire sérülékenyek az egyes országok villamoshálózatai, miként arra is, hogy Oroszország egyre kifinomultabb eszközökkel igyekszik kihasználni a hasonló sérülékenységeket.
A Sandworm hackerei a BlackEnergy továbbfejlesztett változatával, a BlackEnergy3 segítségével több ukrán áramszolgáltató céges hálózatába is behatoltak, ahol sikerült átvenniük az irányítást a különféle felügyeleti rendszerek felett. Szerencsére azonban a BlackEnergy3 nem volt képes az áramellátást közvetlenül szabályozó eszközökhöz hozzáférni.
A 2016-os Industroyer támadás ennél már ügyesebb volt: sikeresen tudta kiaknázni az ukrán hálózatot üzemeltető cégek elöregedett rendszereinek sérülékenységeit, és az egyes transzformátor-állomásokat is képes volt vezérelni, illetve ki tudta iktatni a rendszerbe épített biztonsági megoldásokat.
"A CosmicEnergy a hálózati eszközöket támadó malware-ek legújabb változata, amely képes akár fizikai károkat is okozni, és amelyet viszonylag ritkán lehet észlelni. Ami a CosmicEnergyt megkülönbözteti a többi hasonló malware-től a mi elemzésünk alapján, az az, hogy ezt az eszközt eredetileg egy, az áramellátás kimaradását szimuláló gyakorlatra fejleszthették ki, amelyet a Rostelecom-Solar, egy orosz IT-biztonsági cég rendezett. A malware és funkcióinak elemzése rávilágított, hogy a képességei összehasonlíthatóak az Industroyer és az Industroyer 2 kártevőkkel.
[...]
A CosmicEnergy felfedezése remekül példázza, hogy egyre könnyebb lesz az energetikai infrastruktúrát támadó eszközök létrehozása, mivel a hasonló tevékenységet végző szervezetek felhasználhatják a korábbi, hasonló támadásokból szerzett tudásukat új malware-ek fejlesztéséhez. [...] Úgy gondoljuk, hogy a CosmicEnergy valós fenyegetést jelent az érintett elektromos infrastruktúrák számára. Az üzemeltetőiknek meg kell tenniük a szükséges lépéseket, hogy megelőzzék a Cosmicenergy bevetését"
- írták a kártevőt felfedező Mandiant IT-biztonsági cég szakértői.
Orosz hackerek korábban egyébként magyar influencerek Facebook-fiókjai felett is megpróbálták átvenni az irányítást.