Nouvelle alerte de sécurité informatique à prendre sérieusement en garde par les électriciens. Les experts de Mandiant indiquent avoir identifié un nouveau logiciel malveillant, Cosmicenergy, qui pourrait être utilisé pour perturber les réseaux électriques en Asie, Europe et au Moyen-Orient.
Mandiant found a rare specimen of power-grid-targeting malware on VirusTotal, uploaded from Russia in 2021. But some signs suggest it’s a red teaming tool created by the Russian cybersecurity firm Rostelecom-Solar for government-funded defensive exercises.https://t.co/310VRQBxa9
— Andy Greenberg (@agreenberg at the other places) (@a_greenberg) May 25, 2023
Concrètement, ce malware permettrait “d’actionner des commutateurs de lignes électriques et des disjoncteurs afin de provoquer une interruption de l’alimentation électrique”, explique Mandiant. Selon les spécialistes de cette entreprise de cybersécurité, le logiciel malveillant aurait des capacités comparables à Industroyer, développé par l’une des unités du renseignement militaire russe, le GRU, selon la justice américaine, et Industroyer.v2.
Repéré sur VirusTotal
Le premier avait été qualifié à l’époque par l’éditeur Eset de plus grande menace contre les infrastructures critiques depuis Stuxnet, tandis que le second avait été découvert l’an passé avant d’avoir pu entrer en action contre des cibles en Ukraine.
Bonne nouvelle, Cosmicenergy n’a pas été découvert après des investigations sur une attaque informatique. Le malware a en effet été repéré par Mandiant en décembre 2021 après qu’un échantillon ait été téléchargé par un internaute russe sur la plateforme VirusTotal, l’une des filiales de Google, comme Mandiant. Aucune attaque impliquant que le logiciel malveillant n’a été repérée, précise l’entreprise.
Un outil de Red team?
Pour la société américaine, le malware pourrait être un outil d’entraînement, à destination des équipes chargées de l’offensive – les Red team – pour des exercices menés par l’entreprise de cybersécurité Rostelecom-Solar. Comme par exemple ceux menés en 2021 avec le ministère russe de l’énergie ou en 2022 pour le Forum économique international de Saint-Pétersbourg.
Mais Mandiant souligne également qu’il est possible que le malware a été développé par une autre organisation en s’inspirant d’un outil dédié au départ à des exercices. Quoiqu’il en soit, ce nouveau malware “montre que les barrières à l’entrée pour développer des capacités offensives diminuent”, avertit l’entreprise américaine.