Una nuova variante di software malevolo, COSMICENERGY, è stata scoperta dalla società di intelligence sulle minacce di proprietà di Google, Mandiant. È progettato per penetrare e interrompere sistemi critici in ambienti industriali e è stato caricato su un’utilità di scansione malware pubblica a dicembre 2021 da un mittente in Russia. Sebbene non ci siano prove che sia stato utilizzato in natura, è simile ad altri malware specializzati come Stuxnet, Havex, Triton, IRONGATE, BlackEnergy2, Industroyer e PIPEDREAM.
Mandiant ha detto che le prove indiziarie suggeriscono che il malware è stato sviluppato come strumento di red teaming dalla società di telecomunicazioni russa Rostelecom-Solar per simulare interruzioni di potenza e esercizi di risposta di emergenza che si sono svolti ad ottobre 2021. Ciò solleva la possibilità che il malware sia stato sviluppato per ricreare scenari di attacco realistici contro asset di rete energetica per testare le difese o che un’altra parte abbia riutilizzato il codice associato al cyber range.
COSMICENERGY è in grado di sfruttare un protocollo di comunicazione industriale chiamato IEC-104 per emettere comandi a RTU, che possono essere utilizzati per inviare comandi remoti per influenzare l’attuazione degli interruttori della linea di alimentazione e dei dischi per causare interruzioni di potenza. Ciò è realizzato tramite due componenti chiamati PIEHOP e LIGHTWORK, che sono due strumenti di interruzione scritti in Python e C ++, rispettivamente.
La scoperta di COSMICENERGY evidenzia diversi sviluppi notevoli nella minaccia OT. Presenta una minaccia immediata per le organizzazioni interessate, poiché queste scoperte sono rare e perché il malware sfrutta principalmente caratteristiche insicure per disegno degli ambienti OT che difficilmente saranno rimediate in tempi brevi.
Source: Hackernews
Per mitigare potenziali minacce, è importante implementare ulteriori misure di sicurezza informatica con l’aiuto di un partner affidabile come INFRA www.infrascan.net o è possibile provarci da soli utilizzando check.website.