Português 
English
Français
Deutsch
Español
Italiano
日本語
한국어
Русский
COSMICENERGY: Novo malware OT possivelmente relacionado aos exercícios russos de resposta a emergências
A Mandiant identificou um novo malware orientado para tecnologia operacional (OT) / sistema de controle industrial (ICS), que rastreamos como COSMICENERGY, carregado em um utilitário público de verificação de malware em dezembro de 2021 por um remetente na Rússia. O malware é projetado para causar interrupção de energia elétrica interagindo com dispositivos IEC 60870-5-104 (IEC-104), como unidades terminais remotas (RTUs), que são comumente utilizadas em operações de transmissão e distribuição elétrica na Europa, Oriente Médio , e Ásia.
COSMICENERGY é o exemplo mais recente de malware OT especializado capaz de causar impactos físicos cibernéticos, que raramente são descobertos ou divulgados. O que torna o COSMICENERGY único é que, com base em nossa análise, um empreiteiro pode tê-lo desenvolvido como uma ferramenta de equipe vermelha para exercícios simulados de interrupção de energia hospedados pela Rostelecom-Solar, uma empresa russa de segurança cibernética. A análise do malware e sua funcionalidade revela que seus recursos são comparáveis aos empregados em incidentes e malwares anteriores, como INDUSTROYER e INDUSTROYER.V2, que eram variantes de malware implantadas no passado para impactar a transmissão e distribuição de eletricidade via IEC-104.
A descoberta do COSMICENERGY ilustra que as barreiras de entrada para o desenvolvimento de capacidades OT ofensivas estão diminuindo à medida que os atores aproveitam o conhecimento de ataques anteriores para desenvolver novos malwares. Dado que os agentes de ameaças usam ferramentas de equipe vermelha e estruturas de exploração pública para atividades de ameaças direcionadas na natureza, acreditamos que a COSMICENERGY representa uma ameaça plausível aos ativos da rede elétrica afetados. Os proprietários de ativos OT que utilizam dispositivos compatíveis com IEC-104 devem tomar medidas para impedir o potencial na implantação selvagem do COSMICENERGY.
Os recursos e a estratégia geral de ataque da COSMICENERGY parecem reminiscentes do incidente INDUSTROYER de 2016, que emitiu comandos IEC-104 ON/OFF para interagir com RTUs e, de acordo com uma análise, pode ter feito uso de um servidor MSSQL como um sistema de conduíte para acessar OT. Aproveitando esse acesso, um invasor pode enviar comandos remotos para afetar a atuação de interruptores e disjuntores de linha de energia para causar interrupção de energia. COSMICENERGY realiza isso por meio de seus dois componentes derivados, que rastreamos como PIEHOP e LIGHTWORK (consulte os apêndices para análises técnicas).
O COSMICENERGY carece de recursos de descoberta, o que implica que, para executar com êxito um ataque, o operador de malware precisaria realizar algum reconhecimento interno para obter informações do ambiente, como endereços IP do servidor MSSQL, credenciais MSSQL e endereços IP do dispositivo IEC-104 de destino. A amostra de LIGHTWORK que obtivemos inclui oito endereços de objeto de informação IEC-104 codificados (IOA), que normalmente se correlacionam com elementos de dados de entrada ou saída em um dispositivo e podem corresponder a interruptores de linha de energia ou disjuntores em uma RTU ou configuração de relé. No entanto, os mapeamentos IOA geralmente diferem entre fabricantes, dispositivos e até mesmo ambientes. Por esse motivo, as ações específicas pretendidas pelo ator não são claras sem conhecimento adicional sobre os ativos visados.
Durante nossa análise do COSMICENERGY, identificamos um comentário no código que indicava que o exemplo usa um módulo associado a um projeto denominado "Solar Polygon" (Figura 2). Pesquisamos a string única e identificamos uma única correspondência para um intervalo cibernético (também conhecido como polígono) desenvolvido pela Rostelecom-Solar, uma empresa russa de segurança cibernética que recebeu um subsídio do governo em 2019 para começar a treinar especialistas em segurança cibernética e conduzir interrupções e emergências de energia elétrica exercícios de resposta.
Embora não tenhamos identificado evidências suficientes para determinar a origem ou finalidade do COSMICENERGY, acreditamos que o malware foi possivelmente desenvolvido pela Rostelecom-Solar ou por uma parte associada para recriar cenários reais de ataque contra ativos da rede de energia. É possível que o malware tenha sido usado para apoiar exercícios como os realizados pela Rostelecom-Solar em 2021 em colaboração com o Ministério da Energia da Rússia ou em 2022 para o Fórum Econômico Internacional de São Petersburgo (SPIEF).