En los últimos años, los atacantes patrocinados por el estado han aumentado su capacidad para atacar infraestructuras críticas como las redes eléctricas y causar graves interrupciones. Nuevo en este arsenal es un conjunto de herramientas de malware aparentemente desarrollado por una firma rusa de ciberseguridad para ejercicios de equipos rojos.
Apodado COSMICENERGY por los investigadores de Mandiant, el malware puede interactuar con unidades terminales remotas (RTU) y otros dispositivos de ingeniería industrial (OT) que se comunican a través del protocolo especializado IEC 60870-5-104 (IEC-104) comúnmente utilizado en ingeniería eléctrica y automatización de energía. .
«COSMICENERGY es el último ejemplo de malware OT especializado que puede tener efectos ciberfísicos que rara vez se detectan o divulgan», dijeron los investigadores de Mandian en su informe. «El análisis del malware y su funcionalidad muestra que sus capacidades son comparables a las utilizadas en incidentes anteriores y malware como INDUSTROYER e INDUSTROYER.V2, que históricamente eran variantes de malware que afectaban la transmisión y distribución de energía sobre IEC-104 afectada».
Marco del equipo rojo inspirado en ataques anteriores
INDUSTROYER, también conocido como Crashoverride, es un programa malicioso que se implementó contra la red eléctrica de Ucrania en 2016, dejando a una quinta parte de la capital del país, Kiev, sin electricidad durante una hora. El malware llegó a las RTU en la red OT a través de servidores MS-SQL que actúan como historiadores de datos, y luego emitió comandos de ENCENDIDO/APAGADO a través de IEC-104 para afectar los interruptores de la línea eléctrica y los interruptores automáticos.
La creación y el uso de INDUSTROYER se le atribuye a Sandworm, un grupo APT que se cree que es una unidad de guerra cibernética dentro del GRU, la agencia de inteligencia militar de Rusia. En 2022, Sandworm intentó otro ataque a la red eléctrica de Ucrania utilizando una versión actualizada del malware llamado INDUSTROYER.V2.
El nuevo kit de herramientas COSMICENERGY encontrado por Mandiant fue subido a un servicio público de escaneo de malware por alguien en Rusia en diciembre de 2021. El análisis del código sugiere que fue creado para los ejercicios del Equipo Rojo organizados por una empresa rusa de ciberseguridad llamada Rostelecom-Solar, que tiene vínculos con el gobierno ruso.
«Aunque no hemos encontrado suficiente evidencia para determinar el origen o el propósito de COSMICENERGY, creemos que el malware puede haber sido desarrollado por Rostelecom-Solar o una parte relacionada para replicar escenarios de ataques reales contra los activos de la red de energía», dijeron los investigadores. «Es posible que el malware se haya utilizado para respaldar ejercicios como los organizados por Rostelecom-Solar en cooperación con el Ministerio de Energía de Rusia en 2021 o para el Foro Económico Internacional (SPIEF) en San Petersburgo en 2022».
Rostelecom-Solar recibió fondos del gobierno ruso para capacitar a profesionales de ciberseguridad y realizar simulacros sobre cortes de energía y respuesta a emergencias. Un módulo en el kit de herramientas de malware contiene una referencia a Solar Polygon, y los buscadores de ese término lo asocian con Rostelecom-Solar.
Según Mandiant, a pesar de sus aparentes vínculos con los ejercicios del Equipo Rojo, existe la posibilidad de que este conjunto de herramientas de malware haya sido o pueda ser reutilizado para ataques del mundo real, incluso por parte de actores del estado-nación rusos que anteriormente utilizaron contratistas privados para desarrollar herramientas.
Carga útil de malware de dos componentes implementada manualmente
COSMICENERGY consta de dos componentes: uno escrito en Python y otro en C++. El componente basado en Python, que Mandiant llama PIEHOP, está diseñado para conectarse a servidores MS-SQL y cargar archivos o emitir comandos. Una vez que se establece la conexión, se implementa el segundo componente llamado LIGHTWORK, que se utiliza para enviar comandos de ENCENDIDO y APAGADO a las RTU conectadas a través de IEC-104 sobre TCP.
«Crea mensajes ASDU (Unidad de datos de servicio de aplicación IEC-104) configurables para cambiar el estado de las direcciones de objetos de información (IOA) de RTU a ENCENDIDO o APAGADO», dijeron los investigadores. «LIGHTWORK utiliza argumentos de línea de comandos posicionales para el dispositivo de destino, el puerto y el comando IEC-104».
Los IOA se correlacionan con las entradas y salidas de las RTU, que se pueden asignar a los disyuntores o interruptores de línea de alimentación conectados, según la configuración y la implementación. Sin embargo, según Mandiant, las asignaciones de IOA pueden diferir entre diferentes fabricantes de RTU, dispositivos individuales e incluso entornos, lo que significa que los atacantes ya deben tener inteligencia sobre la implementación a la que se dirigen. La muestra LIGHTWORK analizada contenía ocho IOA codificados. Sin embargo, es difícil determinar cuál era la intención de los atacantes al emitirles comandos sin conocer los recursos exactos del objetivo.
Además, el componente PIEHOP y el malware en sí mismo no tienen capacidades de descubrimiento de red integradas, lo que significa que los atacantes ya deben tener información sobre los servidores MSSQL y las RTU atacadas, como credenciales y direcciones IP, para implementar correctamente los componentes. . Esto lo convierte en un juego de herramientas para después de un robo.
Si bien COSMICENERGY no comparte código con herramientas de malware OT anteriores, hereda técnicas de varias de ellas, además de INDUSTROYER: el uso de Python para el desarrollo de malware OT también se ha observado con IRONGATE y TRITON; el uso de bibliotecas de código abierto que implementan protocolos OT patentados, lo que reduce el obstáculo para desarrollar tales amenazas; y abuso de protocolos que son intrínsecamente inseguros, como IEC-104, y carecen de mecanismos de autenticación o cifrado.
Cómo templar y reconocer la ENERGÍA CÓSMICA
Si bien no hay evidencia de que COSMICENERGY se haya utilizado en ataques en la naturaleza, no se puede descartar la posibilidad y al menos puede servir de inspiración para otros desarrolladores de malware OT, al igual que INDUSTROYER sirvió de inspiración para sus desarrolladores.
El informe de Mandiant incluye indicadores de compromisos y hashes de archivos, pero la empresa también recomienda que las organizaciones lleven a cabo una búsqueda activa de amenazas:
- Configure la recopilación y agregación de registros basada en host para sistemas joya de la corona, como interfaces hombre-máquina (HMI), estaciones de trabajo de ingeniería (EWS) y servidores de cliente OPC en sus entornos, y examine los registros en busca de evidencia de secuencias de comandos de Python o ejecución de código no autorizado. sistemas
- Identifique e investigue la creación, transferencia y/o ejecución de ejecutables empaquetados en Python no autorizados (por ejemplo, PyInstaller o Py2Exe) en sistemas OT o sistemas con acceso a recursos OT.
- Supervise los sistemas con acceso a los recursos de OT para la creación de carpetas, archivos, artefactos y bibliotecas externas temporales legítimos necesarios como evidencia de la ejecución del script de Python empaquetado, p. B. Crear una carpeta PyInstaller «_MEIPASS» temporal.
- Supervise los servidores MSSQL con acceso a sistemas y redes OT para obtener indicaciones de: Credenciales y actividades de enumeración y reconocimiento del servidor MSSQL, conexiones de red no autorizadas a servidores MSSQL (TCP/1433) y autenticación, activación y uso intermitentes o no autorizados de procedimientos almacenados SQL extendidos para ejecución de comandos de shell de Windows, así como la transferencia, creación, implementación y decodificación de archivos ejecutables codificados en Base64.
Derechos de autor © 2023 IDG Communications, Inc.