COSMICENERGY: identificato il malware russo che può causare un'interruzione di energia elettrica
#Cybercecurity
G Iuvinale
Un nuovo malware collegato alla Russia progettato per abbattere le reti elettriche è stato identificato dai ricercatori sulle minacce di Mandiant, che hanno esortato le aziende energetiche ad agire per mitigare questa "minaccia immediata".
In particolare, Mandiant ha identificato un nuovo malware orientato alla tecnologia operativa (OT)/sistema di controllo industriale (ICS), monitorato come COSMICENERGY, caricato su un'utilità pubblica di scansione del malware nel dicembre 2021 da un mittente in Russia. Il malware è progettato per causare un'interruzione dell'energia elettrica interagendo con i dispositivi IEC 60870-5-104 (IEC-104), come le unità terminali remote (RTU), comunemente utilizzate nelle operazioni di trasmissione e distribuzione elettrica in Europa, Medio Oriente, e dell'Asia.
Secondo Mandiant, COSMICENERGY è l'ultimo esempio di malware specializzato OT in grado di causare impatti cyber-fisici, raramente scoperti o divulgati.
"Ciò che rende unico COSMICENERGY è he, sulla base della nostra analisi, un appaltatore potrebbe averlo sviluppato come strumento di Red Teaming per esercitazioni simulate di interruzione dell'alimentazione ospitate da Rostelecom-Solar, una società di sicurezza informatica russa".
L'analisi del malware e della sua funzionalità rivela che le sue capacità sono paragonabili a quelle impiegate in precedenti incidenti e malware, come INDUSTROYER e INDUSTROYER.V2, utilizzate in passato per influenzare la trasmissione e la distribuzione dell'elettricità tramite IEC-104.
Catena di esecuzione di COSMICENERGY (Foto Mandiant)
Per Mandiant, la scoperta di COSMICENERGY "dimostra che le barriere all'ingresso per lo sviluppo di capacità OT offensive si stanno abbassando man mano che gli attori sfruttano la conoscenza degli attacchi precedenti per sviluppare nuovo malware".
Dato che gli attori delle minacce utilizzano strumenti del team rosso e framework di sfruttamento pubblico per attività di minaccia mirate in natura, Mandiant ritiene COSMICENERGY una minaccia plausibile per le risorse della rete elettrica interessate. I proprietari di risorse OT che sfruttano dispositivi conformi a IEC-104 dovrebbero agire per anticipare il potenziale nella distribuzione selvaggia di COSMICENERGY, ha detto l'azienda americana di sicurezza informatica.
Qui l'avvertimento di Mandiant con le relative informazioni tecniche.