.
O malware projetado para interromper as redes de energia elétrica provavelmente foi desenvolvido por um empreiteiro russo, de acordo com a equipe de inteligência de ameaças da Mandiant, que descobriu o software malicioso e o apelidou de CosmicEnergy.
A Mandiant detectou o malware de equipamento industrial depois que ele foi carregado no VirusTotal, o que é um pouco comum – embora seja uma maneira melhor de descobrir um novo software desagradável em comparação com, digamos, esperar por um ciberataque maciço que desliga a infraestrutura crítica.
“Não vimos nenhuma segmentação pública até o momento”, disse Keith Lunden, gerente de análise da Mandiant no Google Cloud. Strong The One. No entanto, pelo menos.
A equipe diz que é provável que um empreiteiro tenha criado o malware como uma ferramenta de red-teaming para exercícios simulados de interrupção de energia hospedados pela Rostelecom-Solar, uma empresa russa de segurança cibernética.
Em 2019, o biz recebeu um subsídio do governo para treinar especialistas em segurança e realizar exercícios de interrupção de energia elétrica e resposta a emergências.
O malware CosmicEnergy visa dispositivos IEC 60870-5-104 (IEC-104), incluindo unidades terminais remotas usadas em sistemas de transmissão elétrica na Europa, Oriente Médio e Ásia.
E compartilha recursos com o de 2016 Empresárioum tipo particularmente perigoso de malware russo que pode controlar diretamente interruptores e disjuntores de subestações de eletricidade, bem como seu sucessor, Industrial v2que os caçadores de ameaças ucranianos descobriram após a invasão da Rússia no ano passado.
Ambas as variantes foram implantadas para impactar certos sistemas de transmissão e distribuição de eletricidade, nos disseram.
“Dado que os agentes de ameaças usam ferramentas de equipe vermelha e estruturas de exploração pública para atividades de ameaças direcionadas na natureza, acreditamos que a CosmicEnergy representa uma ameaça plausível aos ativos da rede elétrica afetados”, os pesquisadores da Mandiant disse em pesquisa publicada hoje. “Proprietários de ativos OT que utilizam dispositivos compatíveis com IEC-104 devem tomar medidas para antecipar o potencial na implantação selvagem da CosmicEnergy.”
Como o IEC-104 geralmente não é usado nos EUA, que mais comumente usa o Distributed Network Protocol 3 (DNP3), essa variante de malware não representa uma ameaça direta às redes elétricas americanas e outros sistemas de controle industrial, disse Lunden.
“Mas os defensores dos EUA ainda podem aprender sobre a estratégia geral de ataque”, acrescentou.
O malware tem dois componentes, que a Mandiant chama de PieHop e LightWork. Espera-se que o PieHop, escrito em Python, seja executado em um host comprometido dentro da rede de um alvo. Ele se conecta a um servidor MSSQL e carrega arquivos para essa máquina. Parece que o PieHop precisa receber o endereço IP e as credenciais desse servidor de banco de dados; algum dever de casa, portanto, precisa ser feito por um invasor para fazer uso da ferramenta.
A julgar pelas descobertas da Mandiant, o PieHop carrega o LightWork no servidor e o executa. O LightWork, escrito em C++, faz o trabalho real de enviar comandos de ligar ou desligar para equipamentos industriais conectados via protocolo IEC-104. O executável do LightWork é excluído imediatamente após ser usado pelo PieHop.
Para realizar um ataque, um intruso precisaria infectar um PC dentro da rede de um fornecedor de energia, encontrar um Microsoft SQL Server na rede que tenha acesso ao equipamento operacional e obter os detalhes de login dessa caixa. O PieHop é então executado no PC para carregar o LightWork no servidor, que envia comandos disruptivos aos dispositivos industriais conectados.
“A amostra do PieHop que obtivemos contém erros de lógica de programação que o impedem de executar com sucesso seus recursos de controle IEC-104, mas acreditamos que esses erros podem ser facilmente corrigidos”, observaram os pesquisadores.
E embora eles digam que não há “evidências suficientes” para determinar a origem ou propósito do malware, “acreditamos que o malware foi possivelmente desenvolvido pela Rostelecom-Solar ou por uma parte associada para recriar cenários reais de ataque contra ativos da rede de energia”. ®
.
