Los investigadores de seguridad de Mandiant han descubierto un nuevo malware llamado «CosmicEnergy» y que ha sido diseñado para interrumpir los sistemas industriales y ha sido vinculado al grupo ruso de ciberseguridad Rostelecom-Solar (anteriormente Solar Security).
«Consideramos que… es posible que un actor diferente, con o sin permiso, reutilice el código asociado con el rango cibernético para desarrollar este malware«, especularon los investigadores en una publicación en el blog el día de ayer.
Lejos de cualquier muestra ordinaria de VirusTotal o herramienta de RedTeam, CosmicEnergy «representa una amenaza plausible para los activos de la red eléctrica afectada«, explicaron, gracias a su capacidad para manipular un tipo de dispositivo de control industrial llamado unidad terminal remota (RTU).
Una RTU es un tipo especial de controlador industrial que utiliza la telemetría como interfaz entre las máquinas industriales y sus sistemas de control. Su función es relativamente simple: recibir datos y enviarlos para su análisis, pero, lo que es más importante, es capaz de activar y desactivar procesos industriales automatizados.
En muchos sentidos, CosmicEnergy sigue el modelo de Industroyer, el primer malware diseñado para desconectar una red eléctrica, en particular la variante más nueva de Industroyer, implementada el año pasado por el grupo APT rusa, Sandworm, en un ataque contra Ucrania. Los investigadores también lo compararon con algunos de los otros programas más conocidos que alguna vez tocaron las redes industriales, incluidos Irongate , Ironcontroller y Triton/Trisis .
Para Daniel Kapellmann Zafra, gerente de análisis de Mandiant en Google Cloud, CosmicEnergy demuestra cuán accesible puede ser el malware diseñado para el daño cinético. «Ya han aprendido cómo hacerlo; eso es lo que lo hace muy preocupante«, dice.
Usando CosmicEnergy, un atacante podría causar una interrupción del suministro eléctrico simplemente enviando un comando para activar un interruptor en la línea de alimentación o un disyuntor. Esto es posible con dos componentes.
- Primero, PieHop es una herramienta basada en Python que conecta un servidor MSSQL controlado por un atacante con una RTU en un sitio industrial objetivo.
- Luego, PieHop usa el segundo componente, Lightwork, una herramienta basada en C++, para aprovechar las capacidades de alternancia de una RTU, modificando el estado de la RTU antes de borrar el ejecutable del sistema de destino.
Los investigadores notaron que «la muestra de PieHop que obtuvimos contiene errores lógicos de programación que le impiden realizar con éxito sus capacidades de control IEC-104«, pero agregaron que «creemos que estos errores se pueden corregir fácilmente«.
Las RTU industriales son inseguras desde su nacimiento
Desde el exterior, uno podría suponer que un dispositivo de control de procesos industriales sensibles estaría resguardado ante las amenazas. Pero eso no podría estar más lejos de la verdad.
«La mayoría de las veces no hay seguridad adicional en este punto«, dice Kapellmann Zafra de Mandiant sobre la RTU y controladores similares. «Es una tendencia que los tipos recientes de familias de malware que hemos estado viendo en OT estén aprovechando los protocolos que están abiertos«.
Las RTU son víctimas del fenómeno «inseguro por diseño», nombrado y popularizado hace más de una década por el influyente en seguridad industrial, Dale Peterson. En resumen, la idea es que las máquinas industriales a menudo se diseñan para operar en entornos confiables, sin tener en cuenta la seguridad, debido a la antigüedad, la complejidad y otros factores. A menudo, sus características , las mismas funciones detalladas en sus manuales , podrían, en un contexto de seguridad, interpretarse como vulnerabilidades.
Para cualquier persona acostumbrada al mundo TI, sonará al revés que, por ejemplo, las RTU ni siquiera aplican el cifrado básico a sus flujos de datos entrantes o salientes. Como explica Kapellmann Zafra, «cuando trabaja con datos desde una perspectiva de TI tradicional, lo que realmente quiere asegurarse es que nadie pueda acceder a los datos. Sin embargo, en el caso de la seguridad de OT, estos datos son apoyando un proceso. Entonces, lo que más le importa es que esta pieza de datos cumpla con su propósito, y su proceso continúe operando como se esperaba que operara«.
Debido a que hay tanta apertura a estos dispositivos críticos, defenderse contra CosmicEnergy , o Industroyer o Triton, para el caso , requiere consideración y proactividad. «No es tan simple como tener todo tipo de soluciones de seguridad diferentes«, dice Kapellmann Zafra.
Destaca la detección como clave. «Porque aunque tenemos las reglas y los IoC para el malware, lo que estamos viendo con este tipo de implementaciones es que, a menudo, no se puede simplemente ejecutar una regla y esperar encontrarla. Tienes que mantén los ojos abiertos para comportamientos que no se esperan«.
Ingeniero en Ciberseguridad por la Universidad Tecnológica de Chile, Speaker, Analista de Ciberinteligencia, Investigador y Redactor para CronUp Ciberseguridad.
