Se ha descubierto una nueva variedad de software malicioso diseñado para penetrar e interrumpir sistemas críticos en entornos industriales.
La firma de inteligencia de amenazas propiedad de Google, Mandiant, apodó el malware ENERGIA COSMICA, agregando que fue subido a una utilidad pública de escaneo de malware en diciembre de 2021 por un remitente en Rusia. No hay evidencia de que se haya puesto en uso en la naturaleza.
«El malware está diseñado para causar interrupciones en la energía eléctrica al interactuar con dispositivos IEC 60870-5-104 (IEC-104), como unidades terminales remotas (RTU), que comúnmente se aprovechan en las operaciones de transmisión y distribución eléctrica en Europa, Medio Oriente y Asia», la empresa dicho.
COSMICENERGY es la última incorporación a especializado malware como Stuxnet, Havex, Triton, IRONGATE, BlackEnergy2, Industroyer y PIPEDREAM, que son capaces de sabotear sistemas críticos y causar estragos.
Mandiant dijo que hay vínculos circunstanciales que pueden haber sido desarrollados como una herramienta de equipo rojo por la empresa rusa de telecomunicaciones Rostelecom-Solar para simular interrupciones de energía y ejercicios de respuesta a emergencias que se celebraron en octubre de 2021.
Esto plantea la posibilidad de que el malware se haya desarrollado para recrear escenarios de ataque realistas contra los activos de la red de energía para probar las defensas o que otra parte haya reutilizado el código asociado con el rango cibernético.
La segunda alternativa no es desconocida, especialmente a la luz del hecho de que se sabe que los actores de amenazas se adaptan y reutilizan equipo rojo legítimo y herramientas post-explotación con fines maliciosos.
Las características de COSMICENERGY son comparables a las de Industroyer, que se ha atribuido al grupo Sandworm respaldado por el Kremlin, debido a su capacidad para explotar un protocolo de comunicación industrial llamado IEC-104 para emitir comandos a las RTU.
«Aprovechando este acceso, un atacante puede enviar comandos remotos para afectar la actuación de los interruptores de la línea eléctrica y los interruptores automáticos para causar una interrupción del suministro eléctrico», dijo Mandiant.
Zero Trust + Deception: ¡Aprende a ser más astuto que los atacantes!
Descubra cómo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust. ¡Únase a nuestro seminario web perspicaz!
Esto se logra mediante dos componentes llamados PIEHOP y LIGHTWORK, que son dos herramientas de disrupción escritas en Python y C++, respectivamente, para transmitir los comandos IEC-104 a los equipos industriales conectados.
Otro aspecto notable del malware del sistema de control industrial (ICS) es la falta de capacidades de intrusión y descubrimiento, lo que significa que requiere que el operador realice un reconocimiento interno de la red para determinar las direcciones IP del dispositivo IEC-104 a las que se apunta.
Para llevar a cabo un ataque, un actor de amenazas tendría que infectar una computadora dentro de la red, encontrar un servidor Microsoft SQL que tenga acceso a las RTU y obtener sus credenciales.
A continuación, se ejecuta PIEHOP en la máquina para cargar LIGHTWORK en el servidor, que envía comandos remotos perturbadores para modificar el estado de las unidades (ENCENDIDO o APAGADO) a través de TCP. También elimina inmediatamente el ejecutable después de emitir las instrucciones.
«Si bien las capacidades de COSMICENERGY no son significativamente diferentes de las familias de malware de OT anteriores, su descubrimiento destaca varios desarrollos notables en el panorama de amenazas de OT», dijo Mandiant.
«El descubrimiento de nuevo malware OT presenta una amenaza inmediata para las organizaciones afectadas, ya que estos descubrimientos son raros y porque el malware se aprovecha principalmente de las características de diseño inseguras de los entornos OT que es poco probable que se solucionen en el corto plazo».