imágenes falsas
Los investigadores han descubierto malware diseñado para interrumpir la transmisión de energía eléctrica y puede haber sido utilizado por el gobierno ruso en ejercicios de entrenamiento para crear o responder a ciberataques en las redes eléctricas.
Conocido como CosmicEnergy, el malware tiene capacidades comparables a las que se encuentran en el malware conocido como Industroyer e Industroyer2, los cuales han sido ampliamente atribuidos por los investigadores a Sandworm, el nombre de uno de los grupos de piratería más hábiles y despiadados del Kremlin. Sandworm desplegó Industroyer en diciembre de 2016 para desencadenar un corte de energía en Kiev, Ucrania, que dejó una gran franja estimada de la ciudad sin energía durante una hora. El ataque ocurrió casi un año después de que uno anterior interrumpiera el suministro eléctrico a 225.000 ucranianos durante seis horas. Industroyer2 salió a la luz el año pasado y se cree que se utilizó en un tercer ataque a las redes eléctricas de Ucrania, pero fue detectado y detenido antes de que pudiera tener éxito.
Los ataques ilustraron la vulnerabilidad de la infraestructura de energía eléctrica y la creciente habilidad de Rusia para explotarla. El ataque en 2015 usó malware reutilizado conocido como BlackEnergy. Si bien el BlackEnergy3 resultante permitió que Sandworm ingresara con éxito en las redes corporativas de las compañías eléctricas ucranianas e invadiera aún más sus sistemas de control de supervisión y adquisición de datos, el malware no tenía medios para interactuar directamente con la tecnología operativa o OT.
El ataque de 2016 fue más sofisticado. Usó Industroyer, una pieza de malware escrita desde cero diseñada para piratear sistemas de redes eléctricas. Industroyer se destacó por su dominio de los arcanos procesos industriales utilizados por los operadores de red de Ucrania. Industroyer se comunicó de forma nativa con esos sistemas para indicarles que desenergizaran y luego volvieran a energizar las líneas de la subestación. Como informó el reportero de WIRED Andy Greenberg:
Industroyer fue capaz de enviar comandos a los disyuntores utilizando cualquiera de los cuatro protocolos del sistema de control industrial, y permitió que los componentes modulares del código de esos protocolos se intercambiaran para que el malware pudiera volver a implementarse para apuntar a diferentes utilidades. El malware también incluía un componente para desactivar los dispositivos de seguridad conocidos como relés de protección, que cortan automáticamente el flujo de energía si detectan condiciones eléctricas peligrosas, una función que parecía diseñada para causar daños físicos potencialmente catastróficos al equipo de la estación de transmisión objetivo cuando los operadores de Ukrenergo. volvió a encender la energía.
Industroyer2 contenía actualizaciones de Industroyer. Si bien finalmente fracasó, su uso en un tercer intento de ataque indicó que las ambiciones del Kremlin de piratear la infraestructura de energía eléctrica de Ucrania seguían siendo una prioridad.
Dada la historia, la detección de nuevo malware diseñado para causar interrupciones generalizadas del suministro eléctrico es motivo de preocupación e interés para las personas encargadas de defender las redes. La preocupación aumenta aún más cuando el malware tiene vínculos potenciales con el Kremlin.
Investigadores de Mandiant, la firma de seguridad que encontró CosmicEnergy, escribieron:
COSMICENERGY es el último ejemplo de malware OT especializado capaz de causar impactos físicos cibernéticos, que rara vez se descubren o divulgan. Lo que hace que COSMICENERGY sea único es que, según nuestro análisis, un contratista puede haberlo desarrollado como una herramienta de equipo rojo para ejercicios de interrupción de energía simulados organizados por Rostelecom-Solar, una empresa rusa de seguridad cibernética. El análisis del malware y su funcionalidad revela que sus capacidades son comparables a las empleadas en incidentes y malware anteriores, como INDUSTRIAL y INDUSTROYER.V2ambas variantes de malware implementadas en el pasado para afectar la transmisión y distribución de electricidad a través de IEC-104.
El descubrimiento de COSMICENERGY ilustra que las barreras de entrada para desarrollar capacidades ofensivas de OT están disminuyendo a medida que los actores aprovechan el conocimiento de ataques anteriores para desarrollar nuevo malware. Dado que los actores de amenazas utilizan herramientas de equipo rojo y marcos de explotación pública para actividades de amenazas específicas en la naturaleza, creemos que COSMICENERGY representa una amenaza plausible para los activos de la red eléctrica afectados. Los propietarios de activos de OT que aprovechan los dispositivos compatibles con IEC-104 deben tomar medidas para adelantarse al potencial en el despliegue salvaje de COSMICENERGY.
En este momento, el enlace es circunstancial y se limita principalmente a un comentario encontrado en el código que sugiere que funciona con un software diseñado para ejercicios de entrenamiento patrocinado por el Kremlin. De acuerdo con la teoría de que CosmicEnergy se usa en los llamados ejercicios Red Team que simulan ataques hostiles, el malware carece de la capacidad de infiltrarse en una red para obtener información del entorno que sería necesaria para ejecutar un ataque. El malware incluye direcciones de objetos de información codificadas que normalmente se asocian con interruptores de líneas eléctricas o disyuntores, pero esas asignaciones tendrían que personalizarse para un ataque específico, ya que difieren de un fabricante a otro.
“Por esta razón, las acciones particulares previstas por el actor no están claras sin más conocimiento sobre los activos objetivo”, escribieron los investigadores de Mandiant.