S’ha descobrit una nova varietat de programari maliciós, COSMICENERGY, per part de l’empresa de intel·ligència de amenaces propietat de Google, Mandiant. Està dissenyat per penetrar i interrompre sistemes crítics en entorns industrials, i es va pujar a una utilitat de escaneig de malware públic el desembre de 2021 per un sotmetedor de Rússia. Encara que no hi ha evidències de que s’utilitzi en la vida real, és similar a altres malware especialitzats com Stuxnet, Havex, Triton, IRONGATE, BlackEnergy2, Industroyer i PIPEDREAM.
Mandiant va dir que les evidències circumstancials suggereixen que el malware va ser desenvolupat com una eina de red teaming per part de la companyia de telecomunicacions russa Rostelecom-Solar per simular interrupcions d’energia i exercicis de resposta d’emergència que es van celebrar el octubre de 2021. Això planteja la possibilitat que el malware es va desenvolupar per recrear escenaris d’atacs realistes contra els actius de la xarxa d’energia per provar les defenses o que una altra part va reutilitzar el codi associat al rang cibernètic.
COSMICENERGY és capaç d’explotar un protocol de comunicació industrial anomenat IEC-104 per emetre ordres a RTUs, que es poden utilitzar per enviar ordres remotes per afectar l’actuació de commutadors i interruptors de línia d’alimentació per causar interrupcions d’energia. Això es fa mitjançant dos components anomenats PIEHOP i LIGHTWORK, que són dues eines de disrupció escrites en Python i C++, respectivament.
La descobrida de COSMICENERGY posa de manifest diversos desenvolupaments notables en el panorama de les amenaces OT. Presenta una amenaça immediata per a les organitzacions afectades, ja que aquests descobriments són rars i perquè el malware es beneficia principalment de característiques insegures per disseny de l’entorn OT que és poc probable que es corregeixin en un futur proper.
Source: Hackernews
Per mitigar amenaces potencials, és important implementar mesures addicionals de ciberseguretat amb l’ajuda d’un soci de confiança com INFRA www.infrascan.net o bé pots provar-ho tu mateix utilitzant check.website.