Pesquisadores de segurança descobriram um novo malware de sistema de controle industrial, apelidado de “CosmicEnergy”, que, segundo eles, pode ser usado para interromper sistemas críticos de infraestrutura e redes elétricas.
O malware foi descoberto por pesquisadores da Mandiant, que compararam os recursos do CosmicEnergy ao malware destrutivo Industroyer que o grupo de hackers “Sandworm” apoiado pelo estado russo usou para cortar energia na Ucrânia em 2016 .
Excepcionalmente, a Mandiant diz que descobriu a CosmicEnergy por meio da caça a ameaças e não após um ataque cibernético em infraestrutura crítica. O malware foi carregado no VirusTotal, um scanner de malware e vírus de propriedade do Google, em dezembro de 2021 por um remetente baseado na Rússia, de acordo com a Mandiant. A análise da empresa de segurança cibernética mostra que o malware pode ter sido desenvolvido pela Rostelecom-Solar, o braço de segurança cibernética da operadora nacional de telecomunicações da Rússia, Rostelecom, para apoiar exercícios como os hospedados em colaboração com o Ministério de Energia da Rússia em 2021.
“Um empreiteiro pode tê-lo desenvolvido como uma ferramenta de red-teaming para exercícios simulados de interrupção de energia hospedados pela Rostelecom-Solar”, disse Mandiant. “No entanto, dada a falta de evidências conclusivas, consideramos também possível que um ator diferente – com ou sem permissão – tenha reutilizado o código associado ao alcance cibernético para desenvolver esse malware”.
A Mandiant diz que os hackers não apenas se adaptam regularmente e fazem uso de ferramentas red-team para facilitar ataques no mundo real, mas sua análise do CosmicEnergy revela que a funcionalidade do malware também é comparável à de outras variantes de malware direcionadas a sistemas de controle industrial (ICS). , como a Industroyer, representando assim uma “ameaça plausível aos ativos da rede elétrica afetados”.
A Mandiant disse ao TechCrunch que não observou nenhum ataque CosmicEnergy em estado selvagem e observa que o malware carece de recursos de descoberta, o que significa que os hackers precisariam realizar algum reconhecimento interno para obter informações do ambiente, como endereços IP e credenciais, antes de lançar um ataque.
No entanto, os pesquisadores acrescentaram que, como o malware visa o IEC-104, um protocolo de rede comumente usado em ambientes industriais que também foi alvo durante o ataque de 2016 à rede elétrica da Ucrânia, o CosmicEnergy representa uma ameaça real para as organizações envolvidas na transmissão e distribuição de eletricidade.
“A descoberta de novos malwares OT [tecnologia operacional] apresenta uma ameaça imediata para as organizações afetadas, uma vez que essas descobertas são raras e porque o malware tira proveito principalmente de recursos inseguros de design de ambientes OT que provavelmente não serão remediados tão cedo,” Os pesquisadores da Mandiant alertaram.
A descoberta da Mandiant de um novo malware orientado para o ICS ocorre depois que a Microsoft revelou esta semana que hackers apoiados pelo estado chinês invadiram a infraestrutura crítica americana. De acordo com o relatório , um grupo de espionagem que a Microsoft chama de “Volt Typhoon” tem como alvo o território da ilha americana de Guam e pode estar tentando “interromper a infraestrutura crítica de comunicação entre os Estados Unidos e a região da Ásia durante crises futuras”.
À luz do relatório, o governo dos EUA disse que estava trabalhando com seus parceiros do Five Eyes para identificar possíveis violações. A Microsoft diz que o grupo tentou acessar organizações nos setores de comunicação, manufatura, serviços públicos, transporte, construção, marítimo, governo, tecnologia da informação e educação.
Fonte leia mais: https://techcrunch.com/2023/05/25/mandiant-russia-malware-immobilize-electric-grids/
