En los últimos años, los ciberatacantes respaldados por el Estado han aumentado sus capacidades para atacar infraestructuras críticas, como las redes eléctricas, y causar graves perturbaciones. Este arsenal se ha enriquecido con una caja de herramientas que parece haber sido desarrollada por una empresa rusa de ciberseguridad para los ejercicios del equipo rojo. Apodado Cosmienergy por los investigadores de Mandiant, el malware puede interactuar con unidades terminales remotas (RTU) y otros dispositivos de tecnología operativa (OT) que se comunican a través del protocolo especializado IEC 60870-5-104 (IEC-104) y se usan comúnmente para ingeniería eléctrica y Automatización de la generación de energía. "Cosmicenergy es el último ejemplo de malware OT especializado capaz de causar impactos que rara vez se descubren o divulgan", explican los investigadores de Mandian. en su informe. "El análisis del malware y su funcionalidad revela que sus capacidades son comparables a las empleadas en incidentes y programas anteriores, como Industroyer e Industroyer.V2, dos variantes implementadas en el pasado para impactar la transmisión y distribución de electricidad a través del estándar IEC-104". .
También conocido como Crashoverride, Industroyer es un malware que se utilizó en 2016. contra la red eléctrica ucraniana y dejó a una quinta parte de Kyiv, la capital del país, sin electricidad durante una hora. El malware llegó a las RTU en la red OT a través de servidores MS-SQL y luego emitió comandos de encendido/apagado a través de IEC-104 para afectar los interruptores de línea eléctrica y los disyuntores. La creación y el uso de Industroyer se atribuyen a Sandworm, un grupo APT que se cree que es una unidad de guerra cibernética dentro del GRU, el servicio de inteligencia militar de Rusia. En 2022, Sandworm intentó un nuevo ataque a la red eléctrica de Ucrania utilizando una versión actualizada del malware, llamada Industriayer.V2.
Escondido detrás de la oferta del equipo rojo de un editor
El último kit de herramientas Cosmicenergy descubierto por Mandiant fue subido a un servicio público de escaneo de malware en diciembre de 2021 por un individuo en Rusia. Un análisis del código sugiere que fue creado para ejercicios del equipo rojo organizados por una empresa rusa de ciberseguridad llamada Rostelecom-Solar con vínculos con el gobierno ruso. "Si bien no hemos identificado pruebas suficientes para determinar el origen o el propósito de Cosmicernergy, creemos que puede haber sido desarrollado por Rostelecom-Solar o una parte asociada para recrear escenarios de ataque a activos reales contra activos de redes de energía", dijeron los investigadores. “Es posible que el programa se haya utilizado para apoyar ejercicios como los organizados por Rostelecom-Solar en 2021 en colaboración con el Ministerio de Energía de Rusia o en 2022 para el Foro Económico Internacional de San Petersburgo (SPIEF)”.
Rostelecom-Solar recibió fondos del gobierno ruso para capacitar a expertos en ciberseguridad y realizar ejercicios de interrupción de la red eléctrica y respuesta a emergencias. Un módulo del kit de herramientas de malware contiene una referencia a Solar Polygon y las personas que buscan este término lo vinculan a Rostelecom-Solar. Según Mandiant, a pesar de sus aparentes vínculos con los ejercicios del equipo rojo, es posible que este kit de malware haya sido o pueda ser reutilizado para ataques del mundo real, incluso por parte de actores estatales rusos que anteriormente han utilizado contratistas privados para desarrollar herramientas.
Carga útil de malware de doble activación implementada manualmente
Cosmicernergy consta de dos elementos, uno escrito en Python y el otro en C++. El primero, que Mandiant llamó PIEHOP, está diseñado para conectarse a servidores MS-SQL y descargar archivos o emitir comandos. Una vez conectado, implementa el segundo componente, llamado LIGHTWORK, que está diseñado para emitir comandos de encendido/apagado a las RTU conectadas a través de IEC-104 sobre TCP. "Utiliza mensajes configurables de la Unidad de datos de servicio de aplicaciones (ASDU) IEC-104 para cambiar el estado de las direcciones de objetos de información (IOA) de las RTU habilitándolas o deshabilitándolas", explican los investigadores. “LIGHTWORK utiliza entradas de línea de comando para el dispositivo de destino, el puerto y el comando IEC-104. Los IOA corresponden a las entradas y salidas de las RTU, que, según la configuración y el despliegue, pueden corresponder a disyuntores o interruptores de línea eléctrica”. Sin embargo, según Mandiant, las asignaciones de IOA pueden variar de un fabricante de RTU a otro, de un dispositivo a otro e incluso de un entorno a otro, lo que significa que los atacantes deben tener información de reconocimiento preexistente sobre la implementación a la que se dirigen. La muestra analizada por LIGHTWORK tenía ocho IOA codificados, pero es difícil determinar cuál era la intención de los atacantes cuando emitieron comandos sin conocer los activos objetivo exactos.
Además, el componente PIEHOP y el malware en sí no tienen capacidades de descubrimiento de red integradas, lo que significa que los atacantes ya deben tener información sobre los servidores MSSQL y las RTU objetivo, como las credenciales. y direcciones IP, para implementar los componentes exitosamente. Esta es una caja de herramientas post-intrusión. Aunque Cosmicenergy no comparte ningún código con herramientas de malware OT anteriores, toma prestadas técnicas de varias de ellas además de Industroyer: el uso de Python para el desarrollo de malware OT también se ha observado con IRONGATE y TRITON; el uso de bibliotecas de código abierto que implementan protocolos OT propietarios y reducen el listón para el desarrollo de este tipo de amenazas; y el uso indebido de protocolos que son inseguros por diseño, como IEC-104, y que carecen de mecanismos de autenticación o cifrado.
Mitigar y detectar ataques de Cosmocernergy
Si bien no hay evidencia de que Cosmicernergy se haya utilizado en ataques salvajes, no se puede descartar la posibilidad y, como mínimo, puede inspirar a otros desarrolladores de malware OT, de manera muy similar a como Industroyer sirvió para inspirar a sus creadores. La encuesta de Mandiant contiene indicadores de compromiso y hashes de archivos, pero la compañía también recomienda que las organizaciones realicen una búsqueda activa de amenazas. Aquí están:
1/ Implementar la recopilación y agregación de registros basados en host para sistemas de corona, como interfaces hombre-máquina (HMI), estaciones de trabajo de ingeniería (EWS) y servidores de cliente OPC dentro de sus entornos y examinar registros para demostrar la ejecución de scripts o códigos Python no autorizados en esos sistemas;
2/ Identificar e investigar la creación, transferencia y/o ejecución de ejecutables de Python no autorizados (por ejemplo, PyInstaller o Py2Exe) en sistemas OT o sistemas con acceso a recursos OT;
3/ Supervisar los sistemas que acceden a recursos OT para detectar la creación de carpetas, archivos, artefactos y bibliotecas externas temporales legítimos necesarios para probar la ejecución de scripts de Python, por ejemplo, creando una carpeta PyInstaller temporal "_MEIPASS",
4/ Monitorear los servidores MSSQL que tienen acceso a sistemas y redes OT para detectar lo siguiente: actividades de reconocimiento y enumeración de credenciales y servidores MSSQL, conexiones de red no autorizadas a servidores MSSQL (TCP/1433) y autenticación, activación y uso irregular o no autorizado de SQL extendido Procedimientos almacenados para ejecutar comandos de shell de Windows y transferir, crear, preparar y decodificar ejecutables codificados en base64.
Otras noticias que te pueden interesar