Novo malware CosmicEnergy, ligado à Rússia, tem como alvo sistemas industriais
26 de Maio de 2023

Pesquisadores de segurança da Mandiant descobriram um novo malware chamado CosmicEnergy, projetado para interromper sistemas industriais e ligado à empresa de segurança cibernética russa Rostelecom-Solar (anteriormente Solar Security).

O malware visa especificamente unidades remotas de terminais (RTUs) compatíveis com IEC-104, comumente usadas nas operações de transmissão e distribuição de energia elétrica em toda a Europa, Oriente Médio e Ásia.

A CosmicEnergy foi descoberta depois que uma amostra foi enviada para a plataforma de análise de malware VirusTotal em dezembro de 2021 por alguém com um endereço IP russo.

A análise da amostra de malware vazado revelou várias características notáveis ​​sobre a CosmicEnergy e sua funcionalidade.

Primeiro, o malware compartilha semelhanças com malwares OT anteriores, como Industroyer e Industroyer.V2, ambos usados ​​em ataques que visaram provedores de energia ucranianos em dezembro de 2016 e abril de 2022.

Além disso, é baseado em Python e usa bibliotecas de código aberto para implementação de protocolos OT, assim como outras cepas de malware que visam sistemas de controle industrial, incluindo IronGate, Triton e Incontroller.

Assim como o Industroyer, é provável que a CosmicEnergy obtenha acesso aos sistemas OT do alvo por meio de servidores MSSQL comprometidos usando a ferramenta de interrupção Piehop.

Uma vez dentro da rede das vítimas, os atacantes podem controlar as RTUs remotamente emitindo comandos "LIGADO" ou "DESLIGADO" do IEC-104 por meio da ferramenta maliciosa Lightwork.

A Mandiant acredita que este novo malware pode ter sido desenvolvido como uma ferramenta de red team projetada para simular exercícios de interrupção pela empresa de segurança cibernética russa Rostelecom-Solar.

Com base em informações públicas que mostram que a Rostelecom-Solar recebeu financiamento do governo russo para treinamento em segurança cibernética e simulação de interrupção de energia elétrica, a Mandiant suspeita que a CosmicEnergy também possa ser usada por atores de ameaças russos em ataques cibernéticos disruptivos visando infraestruturas críticas, assim como outras ferramentas de red team.

Como a Microsoft relatou em abril de 2022, depois que a Rússia invadiu a Ucrânia, grupos de hackers russos implantaram muitas famílias de malware (algumas delas nunca vistas antes) em ataques destrutivos contra alvos ucranianos, incluindo infraestrutura crítica.

A lista inclui, mas não se limita a WhisperGate/WhisperKill, FoxBlade (também conhecido como HermeticWiper), SonicVote (também conhecido como HermeticRansom), CaddyWiper, DesertBlade, Industroyer2, Lasainraw (também conhecido como IsaacWiper) e FiberLake (também conhecido como DoubleZero).

Os hackers militares russos Sandworm usaram o malware Industroyer2 para atacar a rede ICS de um importante provedor de energia ucraniano, mas não conseguiram derrubar suas subestações de alta voltagem e interromper a entrega de energia em todo o país.

Publicidade

Curso gratuito de Python

O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...