COSMICENERGY Il malware prende di mira le industrie

È stato scoperto un ceppo di software dannoso scoperto di recente, specificamente progettato per infiltrarsi e interrompere i sistemi critici all'interno degli ambienti industriali. Denominato COSMICENERGY da Mandiant, una società di intelligence sulle minacce di proprietà di Google, questo malware è stato rilevato nell'utilità di scansione del malware pubblica VirusTotal nel dicembre 2021, caricato da un individuo in Russia. Attualmente, non ci sono prove del suo dispiegamento in natura.

L'obiettivo principale di COSMICENERGY è causare disturbi nell'energia elettrica prendendo di mira i dispositivi IEC-104, come le unità terminali remote (RTU), comunemente utilizzate nelle operazioni di trasmissione e distribuzione elettrica in Europa, Medio Oriente e Asia. Questo malware si unisce a una famiglia di software dannosi specializzati, tra cui Stuxnet, Havex, Triton, IRONGATE, BlackEnergy2, Industroyer e PIPEDREAM, tutti in grado di sabotare i sistemi critici e creare caos diffuso.

Mandiant suggerisce che ci sono possibili connessioni che indicano che COSMICENERGY potrebbe essere stato sviluppato come strumento per il Red Teaming dalla società di telecomunicazioni russa Rostelecom-Solar. Lo scopo sarebbe quello di simulare interruzioni di corrente e valutare le procedure di risposta alle emergenze durante le esercitazioni condotte nell'ottobre 2021. Ciò solleva la possibilità che il malware sia stato creato per replicare scenari di attacco realistici contro le risorse della rete energetica per i test di difesa o che il suo codice sia stato riproposto da un altro parte associata alle attività del cyber range.

Caratteristiche e capacità di COSMICENERGY

In termini di caratteristiche e capacità, COSMICENERGY presenta somiglianze con Industroyer, che è stato attribuito al gruppo Sandworm sostenuto dal Cremlino. Il malware sfrutta un protocollo di comunicazione industriale noto come IEC-104 per inviare comandi alle RTU. Attraverso questo accesso, un utente malintenzionato acquisisce la capacità di inviare comandi remoti che influiscono sull'attivazione degli interruttori della linea elettrica e degli interruttori automatici, causando interruzioni di corrente. COSMICENERGY utilizza due componenti, PIEHOP e LIGHTWORK, scritti rispettivamente in Python e C++, per trasmettere i comandi IEC-104 alle apparecchiature industriali collegate.

Un aspetto notevole di questo malware del sistema di controllo industriale (ICS) è la sua limitata capacità di intrusione e scoperta. Ciò significa che si affida all'operatore per condurre una ricognizione interna della rete per identificare gli indirizzi IP dei dispositivi IEC-104 da prendere di mira. Per eseguire un attacco, un attore della minaccia dovrebbe infettare un computer all'interno della rete, individuare un Microsoft SQL Server con accesso alle RTU e ottenere le credenziali necessarie. Successivamente, PIEHOP viene eseguito sulla macchina compromessa per caricare LIGHTWORK sul server. LIGHTWORK quindi avvia comandi remoti dirompenti per alterare lo stato delle unità (ON o OFF) su TCP. L'eseguibile viene prontamente cancellato dopo l'emissione delle istruzioni.