Se ha descubierto una nueva cepa de software malicioso, COSMICENERGY, por la firma de inteligencia de amenazas propiedad de Google, Mandiant. Está diseñado para penetrar y perturbar sistemas críticos en entornos industriales y fue cargado a una utilidad de escaneo de malware público en diciembre de 2021 por un remitente en Rusia. Aunque no hay evidencia de que se haya usado en la naturaleza, es similar a otros malware especializados como Stuxnet, Havex, Triton, IRONGATE, BlackEnergy2, Industroyer y PIPEDREAM.
Mandiant dijo que las evidencias circunstanciales sugieren que el malware fue desarrollado como una herramienta de equipo rojo por la empresa de telecomunicaciones rusa Rostelecom-Solar para simular interrupciones de energía y ejercicios de respuesta de emergencia que se llevaron a cabo en octubre de 2021. Esto plantea la posibilidad de que el malware se haya desarrollado para recrear escenarios de ataque realistas contra activos de la red eléctrica para probar las defensas o que otra parte haya reutilizado el código asociado con el rango cibernético.
COSMICENERGY es capaz de explotar un protocolo de comunicación industrial llamado IEC-104 para emitir comandos a RTU, que se pueden usar para enviar comandos remotos para afectar la actuación de interruptores de línea de alimentación y disyuntores para causar interrupción de energía. Esto se logra con dos componentes llamados PIEHOP y LIGHTWORK, que son dos herramientas de interrupción escritas en Python y C ++, respectivamente.
El descubrimiento de COSMICENERGY destaca varios desarrollos notables en el panorama de amenazas OT. Presenta una amenaza inmediata para las organizaciones afectadas, ya que estos descubrimientos son raros y porque el malware se aprovecha principalmente de características inseguras por diseño de los entornos OT que es poco probable que se remedien en un futuro próximo.
Source: Hackernews
Para mitigar posibles amenazas, es importante implementar medidas adicionales de ciberseguridad con la ayuda de un socio de confianza como INFRA www.infrascan.net o puede intentarlo usted mismo utilizando check.website.