Se ha descubierto una nueva generación de software malicioso diseñado para penetrar e interrumpir sistemas críticos en entornos industriales.
La empresa de inteligencia de amenazas Mandiant, que pertenece a Google, le dio su nombre al malware. ENERGIA COSMICA, y agregó que un remitente en Rusia lo subió a una utilidad pública de escaneo de malware en diciembre de 2021. No hay evidencia de que se haya utilizado en la naturaleza.
«El malware está diseñado para infectar interactuando con dispositivos IEC 60870-5-104 (IEC-104) como B. Unidades terminales remotas (RTU), que se utilizan comúnmente en las operaciones de transmisión y distribución de energía en Europa Central, el Este y Asia”, dijo la compañía.
COSMICENERGY es la última incorporación a malware especializado como Stuxnet, Havex, Triton, IRONGATE, BlackEnergy2, Industroyer y PIPEDREAM, capaz de sabotear sistemas críticos y causar estragos.
Mandiant dijo que hay evidencia de que fue desarrollado por la empresa rusa de telecomunicaciones Rostelecom-Solar como una herramienta de equipo rojo para simular cortes de energía y simulacros de emergencia que tuvieron lugar en octubre de 2021.
Esto plantea la posibilidad de que el malware se haya diseñado para replicar escenarios de ataque realistas contra los activos de la red de energía para probar las defensas, o que otra parte reutilice el código relacionado con el alcance cibernético.
La segunda alternativa no es infrecuente, especialmente dado que se sabe que los actores de amenazas adaptan y reutilizan las herramientas legítimas del equipo rojo y posteriores a la explotación con fines maliciosos.
Las capacidades de COSMICENERGY son comparables a las de Industroyer, atribuida al grupo Sandworm respaldado por el Kremlin, en el sentido de que puede aprovechar un protocolo de comunicaciones industriales llamado IEC-104 para emitir comandos a las RTU.
«Al explotar este acceso, un atacante podría enviar comandos remotos para afectar el funcionamiento de los interruptores de la línea eléctrica y los interruptores automáticos, lo que provocaría una interrupción del suministro eléctrico», dijo Mandiant.
Zero Trust + Deception: ¡Aprende a burlar a los atacantes!
Descubra cómo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust. ¡Únase a nuestro seminario web perspicaz!
¡Asegura mi lugar!
Esto se logra mediante dos componentes llamados PIEHOP y LIGHTWORK, que son dos herramientas disruptivas escritas en Python y C++, respectivamente, para transmitir los comandos IEC-104 a los dispositivos industriales conectados.
Otro aspecto notable del malware ICS (Sistema de control industrial) es la falta de capacidades de intrusión y detección, lo que significa que el operador debe realizar una encuesta interna de la red para descubrir las direcciones IP de los dispositivos IEC-104 que se van a atacar. .
Por lo tanto, para lanzar un ataque, un actor de amenazas necesitaría infectar una computadora en la red, encontrar un servidor Microsoft SQL que tenga acceso a las RTU y obtener sus credenciales.
Luego, se ejecuta PIEHOP en la computadora para cargar LIGHTWORK en el servidor, que envía comandos remotos disruptivos para cambiar el estado de las unidades (ENCENDIDO o APAGADO) a través de TCP. Además, el ejecutable se eliminará inmediatamente después de que se den las instrucciones.
«Aunque las capacidades de COSMICENERGY no difieren significativamente de las de las familias de malware OT anteriores, su descubrimiento destaca varios desarrollos notables en el panorama de amenazas OT», dijo Mandiant.
«El descubrimiento de nuevo malware OT representa una amenaza inmediata para las organizaciones afectadas porque estos descubrimientos son raros y porque el malware explota las características de diseño inherentemente inseguras de los entornos OT que es poco probable que se resuelvan pronto».