O Malware COSMICENERGY tem como alvo as indústrias

Um tipo de software malicioso descoberto recentemente foi descoberto, projetado especificamente para se infiltrar e interromper sistemas críticos em ambientes industriais. Referido como COSMICENERGY pela Mandiant, uma empresa de inteligência de ameaças de propriedade do Google, esse malware foi detectado no utilitário de verificação de malware público VirusTotal em dezembro de 2021, carregado por um indivíduo na Rússia. Atualmente, não há evidências de sua implantação na natureza.

O principal objetivo da COSMICENERGY é causar distúrbios na energia elétrica visando dispositivos IEC-104, como unidades terminais remotas (RTUs), comumente utilizadas em operações de transmissão e distribuição elétrica na Europa, Oriente Médio e Ásia. Esse malware se junta a uma família de software malicioso especializado, incluindo Stuxnet, Havex, Triton, IRONGATE, BlackEnergy2, Industroyer e PIPEDREAM, todos capazes de sabotar sistemas críticos e criar caos generalizado.

Mandiant sugere que existem possíveis conexões indicando que o COSMICENERGY pode ter sido desenvolvido como uma ferramenta para red teaming pela empresa russa de telecomunicações Rostelecom-Solar. O objetivo seria simular interrupções de energia e avaliar os procedimentos de resposta a emergências durante os exercícios realizados em outubro de 2021. Isso levanta a possibilidade de que o malware tenha sido criado para replicar cenários de ataque realistas contra ativos da rede de energia para testes de defesa ou que seu código tenha sido reaproveitado por outro parte associada a atividades de alcance cibernético.

Recursos e capacidades da COSMICENERGY

Em termos de recursos e capacidades, o COSMICENERGY exibe semelhanças com o Industroyer, atribuído ao grupo Sandworm apoiado pelo Kremlin. O malware explora um protocolo de comunicação industrial conhecido como IEC-104 para emitir comandos para RTUs. Por meio desse acesso, um invasor ganha a capacidade de enviar comandos remotos que afetam a atuação de interruptores e disjuntores de linha de energia, levando a interrupções de energia. A COSMICENERGY emprega dois componentes, PIEHOP e LIGHTWORK, escritos em Python e C++, respectivamente, para transmitir os comandos IEC-104 aos equipamentos industriais conectados.

Um aspecto notável desse malware de sistema de controle industrial (ICS) são seus recursos limitados de intrusão e descoberta. Isso significa que ele depende da operadora para realizar o reconhecimento interno da rede para identificar os endereços IP dos dispositivos IEC-104 a serem visados. Para realizar um ataque, um agente de ameaça precisaria infectar um computador dentro da rede, localizar um Microsoft SQL Server com acesso às RTUs e obter as credenciais necessárias. Posteriormente, o PIEHOP é executado na máquina comprometida para carregar o LIGHTWORK no servidor. LIGHTWORK então inicia comandos remotos disruptivos para alterar o estado das unidades (ON ou OFF) sobre TCP. O executável é excluído imediatamente após a emissão das instruções.