Los investigadores de seguridad han descubierto un nuevo malware de sistema de control industrial, denominado «CosmicEnergy», que dicen que podría usarse para interrumpir los sistemas de infraestructura crítica y las redes eléctricas.
El malware fue descubierto por investigadores de Mandiant, quienes compararon las capacidades de CosmicEnergy con el destructivo malware Industroyer que el grupo de piratería «Sandworm» respaldado por el estado ruso usó para cortar el suministro eléctrico en Ucrania en 2016.
Inusualmente, Mandiant dice que descubrió CosmicEnergy a través de la búsqueda de amenazas y no siguiendo un ataque cibernético en la infraestructura crítica. El malware fue subido a VirusTotal, un escáner de virus y malware propiedad de Google, en diciembre de 2021 por un remitente con sede en Rusia, según Mandiant. El análisis de la compañía de ciberseguridad muestra que el malware puede haber sido desarrollado por Rostelecom-Solar, el brazo de ciberseguridad del operador nacional de telecomunicaciones de Rusia, Rostelecom, para respaldar ejercicios como los organizados en colaboración con el Ministerio de Energía de Rusia en 2021.
“Un contratista puede haberlo desarrollado como una herramienta de equipo rojo para ejercicios simulados de interrupción de energía organizados por Rostelecom-Solar”, dijo Mandiant. “Sin embargo, dada la falta de evidencia concluyente, también consideramos posible que un actor diferente, con o sin permiso, reutilice el código asociado con el rango cibernético para desarrollar este malware”.
Mandiant dice que los piratas informáticos no solo se adaptan regularmente y utilizan las herramientas del equipo rojo para facilitar los ataques del mundo real, sino que su análisis de CosmicEnergy revela que la funcionalidad del malware también es comparable a la de otras variantes de malware dirigidas a los sistemas de control industrial (ICS). como Industroyer, lo que representa una «amenaza plausible para los activos de la red eléctrica afectados».
Mandiant le dice a Tecno que no ha observado ningún ataque de CosmicEnergy en la naturaleza y señala que el malware carece de capacidades de descubrimiento, lo que significa que los piratas informáticos tendrían que realizar un reconocimiento interno para obtener información del entorno, como direcciones IP y credenciales, antes de lanzar un ataque.
Sin embargo, los investigadores agregaron que debido a que el malware se dirige al IEC-104, un protocolo de red comúnmente utilizado en entornos industriales que también fue atacado durante el ataque de 2016 a la red eléctrica de Ucrania, CosmicEnergy representa una amenaza real para las organizaciones involucradas en la transmisión y distribución de electricidad.
“El descubrimiento de nuevos OT [operational technology] El malware presenta una amenaza inmediata para las organizaciones afectadas, ya que estos descubrimientos son raros y porque el malware se aprovecha principalmente de las características inseguras de diseño de los entornos OT que es poco probable que se solucionen en el corto plazo”, advirtieron los investigadores de Mandiant.
El descubrimiento de Mandiant de un nuevo malware orientado a ICS se produce después de que Microsoft revelara esta semana que los piratas informáticos respaldados por el estado chino habían pirateado la infraestructura crítica estadounidense. Según el informe, un grupo de espionaje al que Microsoft se refiere como «Volt Typhoon» se ha centrado en el territorio de la isla estadounidense de Guam y podría estar intentando «interrumpir la infraestructura de comunicaciones crítica entre los Estados Unidos y la región de Asia durante futuras crisis».
A la luz del informe, el gobierno de EE. UU. dijo que estaba trabajando con sus socios de Five Eyes para identificar posibles infracciones. Microsoft dice que el grupo ha intentado acceder a organizaciones en los sectores de comunicaciones, fabricación, servicios públicos, transporte, construcción, marítimo, gobierno, tecnología de la información y educación.