Il aurait été créé par une équipe de cybersécurité russe « Red Team », développant des outils malveillants pour tester la résistance de SI industriels

Mandiant a mis en ligne, le 25 mai 2023, une alerte de cybersécurité sur CosmicEnergy, un logiciel malveillant visant des outils de pilotage de systèmes électriques. Il permet de prendre le contrôle d’ICS, notamment des RTU (« remote terminal units »), « couramment utilisés dans les opérations de transport et de distribution d’électricité en Europe, au Moyen-Orient et en Asie », selon Mandiant.

La société de cybersécurité a identifié CosmicEnergy dans un dépôt public effectué en décembre 2021 par un citoyen russe, sur le site VirusTotal (qui appartient, comme Mandiant, à Google). Mandiant y voit « une menace plausible pour les actifs des réseaux électriques concernés ». Le malware aurait des fonctionnalités et des capacités proches d’Industroyer et d’Industroyer.V2, deux logiciels malveillants des services secrets russes visant les systèmes électriques.

Selon les chercheurs, une équipe russe de cybersécurité « Red Team » (chargée de créer des logiciels d’attaque pour tester des infrastructures) pourrait être à l’origine de CosmicEnergy. Elle l’aurait développé dans le cadre « d’exercices de simulation d’interruption de l’alimentation électrique organisés par Rostelecom-Solar, une société russe de cybersécurité ».

« La découverte de CosmicEnergy montre que les barrières à l’entrée pour le développement de capacités OT offensives s’abaissent à mesure que les acteurs tirent parti des connaissances acquises lors d’attaques antérieures pour mettre au point de nouveaux logiciels malveillants », synthétise Mandiant.

Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.