COSMICENERGY: nuovo malware OT forse correlato alle esercitazioni di risposta alle emergenze russe
Mandiant ha identificato un nuovo malware orientato alla tecnologia operativa (OT)/al sistema di controllo industriale (ICS), che tracciamo come COSMICENERGY, caricato su un'utilità di scansione malware pubblica nel dicembre 2021 da un autore in Russia. Il malware è progettato per causare interruzioni dell'energia elettrica interagendo con dispositivi IEC 60870-5-104 (IEC-104), come unità terminali remote (RTU), comunemente utilizzati nelle operazioni di trasmissione e distribuzione elettrica in Europa e Medio Oriente e l'Asia.
COSMICENERGY è l’ultimo esempio di malware OT specializzato in grado di causare impatti cyber-fisici, che raramente vengono scoperti o divulgati. Ciò che rende COSMICENERGY unico è che, sulla base della nostra analisi, un appaltatore potrebbe averlo sviluppato come strumento di squadra rossa per esercizi simulati di interruzione di corrente ospitati da Rostelecom-Solar, una società russa di sicurezza informatica. L'analisi del malware e delle sue funzionalità rivela che le sue capacità sono paragonabili a quelle impiegate in precedenti incidenti e malware, come INDUSTROYER e INDUSTROYER.V2, che erano entrambe varianti di malware implementate in passato per influenzare la trasmissione e la distribuzione di elettricità tramite IEC-104.
La scoperta di COSMICENERGY dimostra che le barriere all’ingresso per lo sviluppo di capacità OT offensive si stanno abbassando poiché gli attori sfruttano la conoscenza degli attacchi precedenti per sviluppare nuovo malware. Dato che gli autori delle minacce utilizzano strumenti della squadra rossa e strutture di sfruttamento pubblico per attività di minaccia mirate in natura, riteniamo che COSMICENERGY rappresenti una minaccia plausibile per le risorse della rete elettrica colpite. I proprietari di asset OT che sfruttano dispositivi conformi allo standard IEC-104 dovrebbero agire per prevenire il potenziale nell’implementazione selvaggia di COSMICENERGY.
Le capacità di COSMICENERGY e la strategia di attacco complessiva ricordano l'incidente INDUSTROYER del 2016, che emise comandi ON/OFF IEC-104 per interagire con le RTU e, secondo un'analisi, potrebbe aver utilizzato un server MSSQL come sistema di canali per accedere a OT. Sfruttando questo accesso, un utente malintenzionato può inviare comandi remoti per influenzare l'attivazione degli interruttori della linea elettrica e degli interruttori automatici per causare interruzioni di corrente. COSMICENERGY realizza questo attraverso i suoi due componenti derivati, che tracciamo come PIEHOP e LIGHTWORK (vedi appendici per le analisi tecniche).
COSMICENERGY non dispone di capacità di rilevamento, il che implica che per eseguire con successo un attacco l'operatore del malware dovrebbe eseguire alcune ricognizioni interne per ottenere informazioni sull'ambiente, come indirizzi IP del server MSSQL, credenziali MSSQL e indirizzi IP dei dispositivi IEC-104 target. Il campione di LIGHTWORK che abbiamo ottenuto include otto indirizzi di oggetti di informazione (IOA) IEC-104 codificati, che tipicamente sono correlati a elementi di dati di input o output su un dispositivo e possono corrispondere a interruttori della linea elettrica o interruttori automatici in una configurazione RTU o relè. Tuttavia, le mappature IOA spesso differiscono tra produttori, dispositivi e persino ambienti. Per questo motivo, le azioni specifiche previste dall'attore non sono chiare senza un'ulteriore conoscenza dei beni presi di mira.
Durante la nostra analisi di COSMICENERGY, abbiamo identificato un commento nel codice che indicava che l'esempio utilizza un modulo associato a un progetto denominato "Solar Polygon" (Figura 2). Abbiamo cercato la stringa univoca e identificato una singola corrispondenza con un intervallo informatico (noto anche come poligono) sviluppato da Rostelecom-Solar, una società russa di sicurezza informatica che ha ricevuto un sussidio governativo nel 2019 per iniziare a formare esperti di sicurezza informatica e a gestire interruzioni ed emergenze dell'energia elettrica esercizi di risposta.
Sebbene non abbiamo identificato prove sufficienti per determinare l'origine o lo scopo di COSMICENERGY, riteniamo che il malware sia stato probabilmente sviluppato da Rostelecom-Solar o da una parte associata per ricreare scenari di attacco reali contro le risorse della rete energetica. È possibile che il malware sia stato utilizzato per supportare esercizi come quelli ospitati da Rostelecom-Solar nel 2021 in collaborazione con il Ministero dell'Energia russo o nel 2022 per il Forum economico internazionale di San Pietroburgo (SPIEF).