Cyberthreat.id – Peneliti keamanan Mandiant menemukan malware baru yang disebut CosmicEnergy yang dirancang untuk mengganggu sistem industri dan terkait dengan cybersecurity Rusia Rostelecom-Solar (sebelumnya Solar Security).

Dikutip dari Bleeping Computer, malware ini secara khusus menargetkan unit terminal jarak jauh (RTU) yang sesuai dengan IEC-104 yang biasa digunakan dalam operasi transmisi dan distribusi listrik di seluruh Eropa, Timur Tengah, dan Asia. CosmicEnergy ditemukan setelah sampel diunggah ke platform analisis malware VirusTotal pada Desember 2021 oleh seseorang dengan alamat IP Rusia.

Analisis sampel malware yang bocor mengungkapkan beberapa aspek penting terkait CosmicEnergy dan fungsinya. Pertama, malware tersebut memiliki kesamaan dengan malware OT sebelumnya seperti Industroyer dan Industroyer.V2, keduanya digunakan dalam serangan yang menargetkan penyedia energi Ukraina pada Desember 2016 dan April 2022.

Selain itu, berbasis Python dan menggunakan pustaka sumber terbuka untuk penerapan protokol OT, seperti jenis malware lainnya yang menargetkan sistem kontrol industri, termasuk IronGate, Triton, dan Incontroller. Sama seperti Industroyer, CosmicEnergy kemungkinan mendapatkan akses ke sistem OT target melalui server MSSQL yang disusupi menggunakan alat gangguan Piehop.

“Begitu berada di dalam jaringan korban, penyerang dapat mengontrol RTU dari jarak jauh dengan mengeluarkan perintah IEC-104 "ON" atau "OFF" melalui alat berbahaya Lightwork,” kata Mandiant.

Mandiant yakin malware yang baru ditemukan ini mungkin telah dikembangkan sebagai alat kerja sama merah yang dirancang untuk mensimulasikan latihan gangguan oleh perusahaan keamanan siber Rusia Rostelecom-Solar.

Berdasarkan informasi publik yang menunjukkan bahwa Rostelecom-Solar menerima dana dari pemerintah Rusia untuk pelatihan keamanan siber dan mensimulasikan gangguan daya listrik, Mandiant menduga CosmicEnergy juga dapat digunakan oleh pelaku ancaman Rusia dalam serangan siber yang mengganggu yang menargetkan infrastruktur penting seperti alat tim merah lainnya.

“Meskipun kami belum mengidentifikasi bukti yang cukup untuk menentukan asal atau tujuan COSMICENERGY, kami percaya bahwa malware itu mungkin dikembangkan oleh Rostelecom-Solar atau pihak terkait untuk membuat ulang skenario serangan nyata terhadap aset jaringan energi,” kata Mandiant.

Mengingat pelaku ancaman menggunakan alat tim merah dan kerangka kerja eksploitasi publik untuk aktivitas ancaman yang ditargetkan, Mandiant yakin COSMICENERGY menimbulkan ancaman yang masuk akal terhadap aset jaringan listrik yang terpengaruh. Seperti yang dilaporkan Microsoft pada April 2022, setelah Rusia menginvasi Ukraina, kelompok peretas Rusia telah menyebarkan banyak keluarga malware dalam serangan destruktif terhadap target Ukraina, termasuk infrastruktur penting.

Daftar tersebut termasuk tetapi tidak terbatas pada WhisperGate/WhisperKill, FoxBlade (alias HermeticWiper), SonicVote (alias HermeticRansom), CaddyWiper, DesertBlade, Industroyer2, Lasainraw (alias IsaacWiper), dan FiberLake (alias DoubleZero).

Tak hanya itu, peretas militer Rusia Sandworm, juga menggunakan malware Industroyer2 untuk menargetkan jaringan ICS dari penyedia energi terkemuka Ukraina, tetapi gagal melumpuhkan gardu listrik bertegangan tinggi dan mengganggu pengiriman energi ke seluruh negeri.