Pesquisadores de segurança descobriram um novo malware direcionado a sistemas de controle industrial (ICS), apelidado de CosmicEnergy, que, segundo eles, pode ser usado para interromper infraestruturas críticas, especialmente redes elétricas. O malware foi descoberto por pesquisadores da Mandiant, que compararam os recursos do CosmicEnergy ao malware destrutivo Industroyer que o grupo de hackers Sandworm, apoiado pelo governo russo, usou para cortar energia na Ucrânia em 2016.
A Mandiant diz que descobriu a CosmicEnergy por meio da caça a ameaças e não após um ataque cibernético em infraestrutura crítica. O malware foi carregado no VirusTotal — um scanner de malware e vírus de propriedade do Google — em dezembro de 2021 por uma pessoa baseada na Rússia, de acordo com os pesquisadores. A análise da empresa de segurança cibernética mostra que o malware pode ter sido desenvolvido pela Rostelecom-Solar, o braço de segurança cibernética da operadora de telecomunicações da Rússia, Rostelecom, para apoiar exercícios como os hospedados em colaboração com o Ministério de Energia da Rússia em 2021.
“Um empreiteiro pode tê-lo desenvolvido como uma ferramenta de red-teaming para exercícios simulados de interrupção de energia hospedados pela Rostelecom-Solar”, disse a Mandiant. “No entanto, dada a falta de evidências conclusivas, consideramos também possível que um hacker, com ou sem permissão, tenha reutilizado o código associado ao alcance cibernético para desenvolver esse malware.”
A Mandiant diz que os hackers não apenas se adaptam regularmente e fazem uso de ferramentas de red-team — de “equipe vermelha”, que tem como função simular um ciberataque contra uma empresa — para facilitar ataques no mundo real, mas sua análise do CosmicEnergy revela que a funcionalidade do malware também é comparável à de outras variantes direcionadas a sistemas de controle industrial, como a Industroyer, representando assim uma “ameaça plausível aos ativos da rede elétrica afetados”.
A Mandiant disse ao TechCrunch que não observou nenhum ataque do CosmicEnergy a uma empresa e observa que o malware carece de recursos de descoberta, o que significa que os hackers precisariam realizar algum reconhecimento interno para obter informações do ambiente, como endereços IP e credenciais, antes de lançar um ataque.
Veja isso
Falha em RTU da Siemens pode permitir hack em redes elétricas
Solorigate abriu brechas em redes de centenas de elétricas nos EUA
No entanto, os pesquisadores acrescentaram que, como o malware visa o IEC-104, um protocolo de rede comumente usado em ambientes industriais que também foi alvo durante o ataque de 2016 à rede elétrica da Ucrânia, o CosmicEnergy representa uma ameaça real para às organizações envolvidas na transmissão e distribuição de energia elétrica. “A descoberta de novos malwares OT [tecnologia operacional] apresenta uma ameaça imediata para as organizações, uma vez que são raras e porque o malware tira proveito principalmente de recursos inseguros de design de ambientes OT que provavelmente não serão remediados tão cedo”, alertaram os pesquisadores da Mandiant.
A descoberta de um novo malware direcionado a ICS ocorre depois que a Microsoft revelou esta semana que hackers apoiados pelo governo chinês invadiram a infraestrutura crítica americana. De acordo com o relatório, um grupo de espionagem que a Microsoft chama de Volt Typhoon tem como alvo o território da ilha norte-americana de Guam, na Micronésia, e pode estar tentando “interromper a infraestrutura crítica de comunicação entre os Estados Unidos e a ilha da Ásia durante crises futuras”.
O governo dos EUA disse que está trabalhando com seus parceiros do Five Eyes (acordo na área de inteligência entre Austrália, Canadá, Nova Zelândia, Reino Unido e EUA) para identificar possíveis violações. A Microsoft disse que o grupo tentou acessar organizações dos setores de comunicação, manufatura, serviços públicos, transporte, construção, marítimo, governo, tecnologia da informação e educação.
