Malware de energía cósmica

Un malware recientemente identificado conocido como COSMICENERGY ha llamado la atención de los investigadores de ciberseguridad. Este malware se dirige específicamente a la tecnología operativa (OT) y los sistemas de control industrial (ICS), centrándose en causar interrupciones en la infraestructura de energía eléctrica. Lo logra explotando las vulnerabilidades en los dispositivos IEC 60870-5-104 (IEC-104), en particular las unidades terminales remotas (RTU) comúnmente utilizadas en operaciones de transmisión y distribución eléctrica en Europa, Medio Oriente y Asia.

Tras analizar COSMICENERGY, los investigadores han descubierto que sus funcionalidades se asemejan mucho a las observadas en incidentes anteriores relacionados con malware, como INDUSTROYER e INDUSTROYER.V2 . Estas variantes de malware anteriores se diseñaron específicamente para interrumpir los sistemas de transmisión y distribución de electricidad mediante la explotación del protocolo IEC-104.

El surgimiento de COSMICENERGY destaca una tendencia preocupante: la disminución de las barreras de entrada para el desarrollo de capacidades ofensivas en el ámbito de OT. Los actores malintencionados están aprovechando el conocimiento obtenido de ataques anteriores para crear malware nuevo y sofisticado, lo que representa riesgos significativos para la infraestructura crítica.

Las capacidades intrusivas del malware COSMICENERGY

El malware COSMICENERGY comparte similitudes con el incidente INDUSTROYER de 2016 en términos de sus capacidades y estrategia de ataque. De una manera que recuerda a INDUSTROYER, COSMICENERGY utiliza comandos IEC-104 ON/OFF para interactuar con unidades terminales remotas (RTU), empleando potencialmente un servidor MSSQL como un sistema de conducto para acceder a la infraestructura de tecnología operativa (OT). Al obtener este acceso, un atacante puede manipular de forma remota los interruptores de la línea eléctrica y los interruptores automáticos, lo que provoca interrupciones en el suministro eléctrico. COSMICENERGY consta de dos componentes principales: PIEHOP y LIGHTWORK.

PIEHOP, escrito en Python y empaquetado con PyInstaller, sirve como herramienta de disrupción. Es capaz de establecer conexiones con servidores MSSQL remotos proporcionados por el usuario, lo que permite cargar archivos y emitir comandos remotos a las RTU. PIEHOP se basa en LIGHTWORK para enviar comandos IEC-104, específicamente 'ENCENDIDO' o 'APAGADO', al sistema de destino. Después de emitir el comando, el ejecutable se elimina rápidamente. Sin embargo, la muestra obtenida de PIEHOP exhibe errores lógicos de programación que le impiden ejecutar con éxito sus capacidades de control IEC-104. No obstante, los investigadores creen que los desarrolladores de la amenaza pueden corregir fácilmente estos errores.

Por otro lado, LIGHTWORK, escrito en C++, funciona como una herramienta de disrupción que implementa el protocolo IEC-104 para modificar el estado de las RTU sobre TCP. Crea mensajes personalizables de Unidad de datos de servicio de aplicación (ASDU) IEC-104 para alterar el estado de las direcciones de objetos de información (IOA) de RTU a 'ENCENDIDO' o 'APAGADO'. LIGHTWORK utiliza argumentos de línea de comandos posicionales para especificar el dispositivo de destino, el puerto y el comando IEC-104.

COSMICENERGY exhibe una notable ausencia de capacidades de descubrimiento, lo que indica que el operador de malware necesitaría realizar un reconocimiento interno antes de lanzar un ataque exitoso. Esta fase de reconocimiento implica la recopilación de información específica del entorno, incluidas las direcciones IP del servidor MSSQL, las credenciales de MSSQL y las direcciones IP de los dispositivos IEC-104 específicos.

Similitudes entre COSMICENERGY y otras amenazas de malware

Si bien COSMICENERGY es distinto de las familias de malware conocidas, sus capacidades demuestran similitudes notables con las observadas en incidentes anteriores. En particular, los investigadores notan semejanzas significativas entre COSMICENERGY y las variantes de malware INDUSTROYER e INDUSTROYER.V2, las cuales se implementaron previamente para interrumpir los sistemas de transmisión y distribución de electricidad.

Además de las similitudes con INDUSTROYER, COSMICENERGY comparte características técnicas con otras familias de malware de tecnología operativa (OT). Estas similitudes incluyen el uso de Python para desarrollo o empaquetado y la utilización de bibliotecas de código abierto para implementar protocolos OT. Las familias de malware OT notables que exhiben estas similitudes técnicas incluyen IRONGATE, TRITON e INCONTROLLER.

Al examinar estas similitudes, los profesionales de la seguridad pueden obtener una comprensión más profunda de los posibles orígenes, técnicas e implicaciones asociadas con COSMICENERGY.