Ciberseguridad

Un nuevo 'malware' diseñado para interrupciones de energía eléctrica

Apodado COSMICENERGY, puede interactuar con unidades terminales remotas y otros dispositivos de tecnología operativa.

alerta seguridad

En los últimos años, los ciberdelincuentes patrocinados por estados han aumentado sus capacidades para atacar infraestructuras críticas, como redes eléctricas, para causar graves interrupciones. Ahora, un grupo de investigadores de Mandiant ha observado cómo a este arsenal de tecnologías se ha añadido un conjunto de herramienta malware que parece haber sido desarrollado por una empresa rusa de ciberseguridad para ejercicios de red team.

Apodado COSMICENERGY, el malware puede interactuar con unidades terminales remotas y otros dispositivos de tecnología operativa (OT) que se comunican a través de protocolos y se usan comúnmente para ingeniería eléctrica y su automatización. “Este es el último ejemplo de ataque OT especializado capaz de causar impactos físicos informáticos, que rara vez se descubren y divulgan”, dice el informe. “El análisis revela que sus capacidades son comparables a las empleadas en incidentes anteriores, como INDUSTROYER y su posterior versión, que fueron variantes de malware implementadas en el pasado para afectar la transmisión y distribución de electricidad”.

INDUSTROYER, también conocido como Crashoverride, es un programa malicioso que se utilizó en 2016 contra la red eléctrica de Ucrania, y dejó sin electricidad a una quinta parte de su capital, Kiev, durante una hora. La creación de este malware se atribuye a Sandworm, un grupo APT que se estima que es una unidad de guerra cibernética dentro del GRU, el servicio de inteligencia militar de Rusia. En 2022, Sandworm intentó otro ataque contra la red eléctrica del país utilizando una versión actualizada del incidente.

El nuevo kit de herramientas COSMICENERGY fue subido a un servicio público de escaneo de malware en diciembre de 2021 desde Rusia. Un análisis de su código sugiere que fue creado para ejercicios de red team organizados por la empresa Tostelecom-Solar que tiene vínculos con el Gobierno de Putin.

“Aunque no hemos identificado evidencia suficiente para determinar el origen o propósito de COSMICENERGY, creemos que el malware posiblemente fue desarrollado por Rostelecom-Solar o una parte asociada para recrear escenarios de ataque reales contra los activos de la red de energía", dijeron los investigadores. "Es posible que el malware se haya utilizado para respaldar ejercicios como los organizados por Rostelecom-Solar en 2021 en colaboración con el Ministerio de Energía de Rusia o en 2022 para el Foro Económico Internacional de San Petersburgo (SPIEF)".

Rostelecom-Solar ha recibido fondos del gobierno ruso para capacitar a expertos en seguridad cibernética y realizar ejercicios de interrupción de energía eléctrica y respuesta a emergencias. Un módulo en el kit de herramientas de malware contiene una referencia a Solar Polygon y los buscadores de este término lo relacionan con Rostelecom-Solar.

Según Mandiant, a pesar de sus aparentes vínculos con los ejercicios de red team, existe la posibilidad de que este conjunto de herramientas de malware se haya reutilizado o se pueda reutilizar para ataques del mundo real, incluso por parte de actores del estado-nación rusos que han utilizado contratistas privados antes para desarrollar herramientas.

 

 

 



TE PUEDE INTERESAR...

Webinar ondemand

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper

Documento Pure Storage y Kyndryl INFRAESTRUCTURAS