Onderzoekers hebben malware ontdekt die mogelijk is ontwikkeld voor het uitvoeren van oefenaanvallen op het elektriciteitsnet Dat meldt securitybedrijf Mandiant. De malware, die CosmicEnergy wordt genoemd, is niet bij daadwerkelijke aanvallen of op het netwerk van energiebedrijven aangetroffen, maar werd anderhalf jaar geleden geüpload naar een niet nader genoemde online virusscantool.

Mandiant, dat onderdeel van Google is, vermoedt dat de malware is ontwikkeld voor red teaming-oefeningen, waarbij aanvallen worden uitgevoerd om de veiligheid van systemen en netwerk te testen. CosmicEnergy heeft overeenkomsten met malware zoals Industroyer die daadwerkelijk tegen energiesystemen is ingezet. De overeenkomsten willen niet zeggen dat CosmicEnergy door dezelfde mensen ontwikkeld is die ook achter Industroyer zaten, aldus Mandiant.

Wel is de malware ontwikkeld om voor stroomstoringen te zorgen, door commando's uit te voeren op IEC 60870-5-104 (IEC-104) systemen die binnen de energievoorziening worden gebruikt. Het ontdekte CosmicEnergy-exemplaar is niet in staat om zelf aan te vallen systemen te ontdekken. Een aanvaller zou dan ook eerst informatie over deze systemen moeten verzamelen, zoals ip-adressen en MSSQL-inloggegevens.

In de code van CosmicEnergy werd een naam aangetroffen van een bedrijf dat een subsidie van de Russische overheid kreeg voor het uitvoeren van noodoefeningen met stroomuitval, laat Mandiant verder weten. Dat wil niet zeggen dat dit bedrijf achter de malware zit. Mandiant heeft naar eigen zeggen onvoldoende bewijs om de herkomst of het doel van de malware te bepalen.

"We denken dat de malware mogelijk is ontwikkeld door Rostelecom-Solar of een gelieerde partij voor het nabootsen van echte aanvalsscenario's tegen onderdelen van het elektriciteitsnetwerk. Het is mogelijk dat de malware is gebruikt bij oefeningen zoals degene die Rostelecom-Solar in 2021 organiseerde", zegt Ken Proska van Mandiant.