Home Infraestructuras críticas Un nuevo malware vinculado a Rusia, supone una “amenaza inmediata” para las...

Un nuevo malware vinculado a Rusia, supone una “amenaza inmediata” para las redes energéticas

Un nuevo malware vinculado a Rusia y diseñado para derribar las redes eléctricas ha sido identificado por los investigadores de amenazas de Mandiant, que han instado a las empresas energéticas a tomar medidas para mitigar esta “amenaza inmediata.”

El malware especializado en tecnología operativa (OT), apodado COSMICENERGY, tiene similitudes con el malware utilizado en ataques anteriores dirigidos a redes eléctricas, incluido el incidente ‘Industroyer’ que dejó sin electricidad a Kiev, Ucrania, en 2016.

COSMICENERGY está diseñado para interrumpir el suministro eléctrico mediante la interacción con dispositivos estándar IEC 60870-5-104 (IEC-104), como las unidades terminales remotas. Estos dispositivos se utilizan habitualmente en operaciones de transmisión y distribución de electricidad en Europa, Oriente Medio y Asia.

Mandiant dijo que COSMICENERGY fue subido a una utilidad pública de escaneo de malware por un remitente en Rusia en diciembre de 2021. Curiosamente, a partir de su análisis posterior, la empresa cree que la empresa rusa de ciberseguridad Rostelecom-Solar o un contratista pueden haber desarrollado inicialmente el malware con fines de entrenamiento, para recrear escenarios reales de ataque contra los activos de la red de energía.

Según los expertos, es posible entonces que un actor de la amenaza, con o sin permiso, reutilizara código asociado a la ciberred para desarrollar este malware.

Esto hace que COSMICENERGY sea distinto del malware OT anterior diseñado para derribar las redes de energía, ya que los actores de amenazas están aprovechando los conocimientos de ataques anteriores para crear nuevas herramientas ofensivas, reduciendo así la barrera de entrada para atacar los sistemas OT.

Esto es particularmente preocupante “ya que normalmente observamos que este tipo de capacidades se limitan a actores con buenos recursos o patrocinados por el Estado”.

El equipo observó que COSMICENERGY carece de capacidades de descubrimiento, “lo que implica que para ejecutar con éxito un ataque el operador del malware necesitaría realizar algún reconocimiento interno para obtener información del entorno.”