Pesquisadores de segurança da Mandiant descobriram um novo malware chamado CosmicEnergy, projetado para interromper sistemas industriais e ligado à empresa de segurança cibernética russa Rostelecom-Solar (anteriormente Solar Security).
O malware visa especificamente unidades remotas de terminais (RTUs) compatíveis com IEC-104, comumente usadas nas operações de transmissão e distribuição de energia elétrica em toda a Europa, Oriente Médio e Ásia.
A CosmicEnergy foi descoberta depois que uma amostra foi enviada para a plataforma de análise de malware VirusTotal em dezembro de 2021 por alguém com um endereço IP russo.
A análise da amostra de malware vazado revelou várias características notáveis sobre a CosmicEnergy e sua funcionalidade.
Primeiro, o malware compartilha semelhanças com malwares OT anteriores, como Industroyer e Industroyer.V2, ambos usados em ataques que visaram provedores de energia ucranianos em dezembro de 2016 e abril de 2022.
Além disso, é baseado em Python e usa bibliotecas de código aberto para implementação de protocolos OT, assim como outras cepas de malware que visam sistemas de controle industrial, incluindo IronGate, Triton e Incontroller.
Assim como o Industroyer, é provável que a CosmicEnergy obtenha acesso aos sistemas OT do alvo por meio de servidores MSSQL comprometidos usando a ferramenta de interrupção Piehop.
Uma vez dentro da rede das vítimas, os atacantes podem controlar as RTUs remotamente emitindo comandos "LIGADO" ou "DESLIGADO" do IEC-104 por meio da ferramenta maliciosa Lightwork.
A Mandiant acredita que este novo malware pode ter sido desenvolvido como uma ferramenta de red team projetada para simular exercícios de interrupção pela empresa de segurança cibernética russa Rostelecom-Solar.
Com base em informações públicas que mostram que a Rostelecom-Solar recebeu financiamento do governo russo para treinamento em segurança cibernética e simulação de interrupção de energia elétrica, a Mandiant suspeita que a CosmicEnergy também possa ser usada por atores de ameaças russos em ataques cibernéticos disruptivos visando infraestruturas críticas, assim como outras ferramentas de red team.
Como a Microsoft relatou em abril de 2022, depois que a Rússia invadiu a Ucrânia, grupos de hackers russos implantaram muitas famílias de malware (algumas delas nunca vistas antes) em ataques destrutivos contra alvos ucranianos, incluindo infraestrutura crítica.
A lista inclui, mas não se limita a WhisperGate/WhisperKill, FoxBlade (também conhecido como HermeticWiper), SonicVote (também conhecido como HermeticRansom), CaddyWiper, DesertBlade, Industroyer2, Lasainraw (também conhecido como IsaacWiper) e FiberLake (também conhecido como DoubleZero).
Os hackers militares russos Sandworm usaram o malware Industroyer2 para atacar a rede ICS de um importante provedor de energia ucraniano, mas não conseguiram derrubar suas subestações de alta voltagem e interromper a entrega de energia em todo o país.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...