Un nuovo malware, denominato CosmicEnergy, è stato individuato dal team di sicurezza informatica Mandiant. L’agente malevolo, probabilmente sviluppato da cybercriminali russi, è ben diverso da quelli che minacciano di solito i nostri computer e smartphone.
CosmicEnergy, infatti, è in grado di agire nei contesti industriali, nello specifico dispositivi IEC 60870-5-104 (con protocollo IEC-104). In questo contesto sono comprese le unità terminali remote utilizzate nei sistemi di trasmissione elettrica in Europa, Medio Oriente e Asia.
Anche se finora non sono stati rilevati attacchi a tali infrastrutture, come sottolineato da Keith Lunden (responsabile dell’analisi di Mandiant presso Google Cloud), la minaccia concreta dunque per le reti elettriche di tutti i paesi che si trovano in queste aree geografiche.
Reti elettriche a rischio? Ecco come agisce CosmicEnergy
Secondo gli esperti che hanno individuato e analizzato CosmicEnergy, per creare il malware sarebbe stato utilizzato uno strumento apposito per testare con simulazioni l’operato dell’agente malevolo. In questo progetto, sarebbe anche stata coinvolta una società russa di sicurezza informatica, nota come Rostelecom-Solar.
Questa azienda, nel corso del 2019, ha ottenuto dei sussidi governativi per formare esperti di sicurezza, specializzati proprio per risposta in caso di emergenze e blackout. Il malware in questione presenta due componenti, definiti da Mandiant come PieHop e LightWork.
PieHop, scritto in Python, viene eseguito da un host compromesso all’interno della rete del target. Questo si connette a un server MSSQL e carica i file su quella macchina. A quanto pare, PieHop riceve l’indirizzo IP e le credenziali di quel server di database.
A questo punto entra in gioco LightWork, caricato sul server da PieHop. Stiamo parlando di codice malevolo scritto in C++ che, una volta avviato, esegue l’effettivo lavoro di invio di comandi di accensione o spegnimento alle apparecchiature industriali.
Una volta svolto il suo lavoro, l’eseguibile di LightWork viene eliminato immediatamente, così da lasciare meno tracce possibili sulla macchina infettata.
Nonostante quanto detto finora, a quanto pare CosmicEnergy non è ancora perfetto. Secondo gli esperti che hanno individuato il malware, infatti “il campione di PieHop ottenuto ed esaminato contiene errori logici di programmazione che gli impediscono di ottenere con successo il controllo dei protocolli IEC-104, ma riteniamo che questi errori possano essere facilmente corretti“.
Una correzione facile da eseguire, che rende questo malware un grande pericolo già sul breve periodo.