Mandiant’tan güvenlik araştırmacılarının bulgularına göre Rusya merkezli bir bilişim teknolojileri şirketinin geliştirdiği CosmicEnergy zararlı yazılımı Asya, Avrupa ve Orta Doğu’da yer alan çeşitli endüstriyel sistemleri yönetmeye yarayan RTU cihazlarını hedefliyor.
İlk olarak Aralık 2021 tarihinde Rus bir IP adresi tarafından VirusTotal’de rastlanan zararlı, Ukrayna’yı hedef alan Industroyer ve Industroyer V2 zararlı kampanyalarıyla da çeşitli benzerlikler taşıyor.
Mandiant’ın dediğine göre bu kötü amaçlı yazılım Rus siber güvenlik şirketi Rostelecom-Solar diğer adıyla Solar Security tarafından geliştirilmiş gözüküyor. Yapılan analizler sonucunda CosmicEnergy’de “Solar Polygon” adında bir projeden modüllerin yer aldığı ve ilgili şirketin Rus hükümetinden elektrik kesintilerini simüle etmek amacıyla çeşitli fonlar aldığı söylendi.
Araştırmacılar zararlının kaynağını kesin bir şekilde tam olarak tespit edemediklerini söyleseler de, Rostelecom-Solar tarafından enerji şebekelerine iyi niyetli çeşitli güvenlik testleri ve siber tatbikatlar yapmak için de bu araçların özel olarak geliştirilmiş olabileceğinin de altını çizdiler.
Yine de saldırganların bu tarz VirusTotal gibi platformlarda açık hale gelmiş araçları kullanarak çeşitli hedeflere etkili siber saldırılar düzenleyebilecekleri ve endüstriyel sistemler için oldukça tehdit oluşturduğu da belirtilenler arasında.
