Aggiornamenti recenti Settembre 21st, 2023 10:50 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- La Cina accusa gli Stati Uniti di cyberspionaggio contro Huawei
- Earth Lusca torna all’attacco con una nuova backdoor
- Microsoft: una “gaffe” di sicurezza ha esposto 38TB di dati sensibili
- Il cybercrimine organizza competizioni per sviluppare nuovi metodi d’attacco
- Nasce HWG Sababa, il polo per guidare imprese e istituzioni nelle sfide di sicurezza
Scoperto COSMICENERGY, nuovo malware che colpisce le reti elettriche
Mandiant ha individuato un nuovo malware creato per colpire i sistemi OT e causare interruzioni alla rete elettrica. Battezzato “COSMICENERGY” dai ricercatori, il malware interagisce coi dispositivi IEC 60870-5-104, come i dispositivi di controllo RTU.
Secondo i ricercatori della firma di sicurezza sembra che il malware sia stato sviluppato a partire da un tool di red teaming per simulare interruzioni di corrente nei sistemi. Il tool sarebbe legato a Rostelecom-Solar, una compagnia russa di cybersecurity.
Come funziona COSMICENERGY
COSMICENERGY è composto da due componenti principali: PIEHOP, un tool in Python in grado di connettersi a un server MSSQL remoto per eseguire comandi, e LIGHTWORK, un tool scritto in C++ che implementa il protocollo IEC-104 per modificare lo stato di un dispositivo RTU attraverso TCP. Nel dettaglio, il primo strumento usa il secondo per modificare lo stato su “ON” o “OFF” dei dispositivi remoti.
Credits: solarseven – Depositphotos
Per essere efficace il malware ha bisogno di conoscere alcune informazioni dei sistemi quali in primis l’indirizzo IP del server MSSQL, le credenziali del server e gli indirizzi IP dei dispositivi IEC-104 target, ma non ha un modulo adibito a queste attività. Il codice analizzato dai ricercatori riportava otto information object address (IOA) di dispositivi IEC-104 scritti direttamente nel codice, ottenuti in precedenza con altri tool.
Al momento non è chiaro quali siano le vittime degli attaccanti dietro COSCMICENERGY o le motivazioni degli attacchi. La presenza di un modulo associato a un progetto chiamato “Solar Polygon” ha portato i ricercatori a Rostelecom-Solar; la compagnia in passato è stata sovvenzionata dal governo russo e, anche se al momento non ci sono abbastanza prove per affermarlo con certezza, è probabile che il malware sia stato sviluppato in accordo col governo.
I ricercatori di sicurezza hanno trovato in COSMICENERGY molte somiglianze con INDUSTROYER e INDUSTROYER.V2, oltre che con famiglie di malware OT quali IRONGATE, TRITON e INCONTROLLER; secondo Mandiant è un’indicazione del fatto che le barriere contro le minacce OT si stanno abbassando, visto che gli attaccanti stanno rimaneggiando vecchi malware per sferrare nuovi attacchi.
Credits: Pixabay
Proteggersi dai malware OT
I ricercatori prevedono che i malware OT continueranno ad abusare dei protocolli non sicuri, come l’IEC-104, e sfrutteranno librerie open-source per l’implementazione dei protocolli. Python continuerà a essere il linguaggio preferito dagli attaccanti per compilare e distribuire i malware OT.
Al fine di individuare attività sospette legate a malware OT, le imprese dovrebbero monitorare i sistemi che hanno accesso alle risorse OT, individuando eventuali cartelle e file temporanei che possono indicare la presenza di malware. Massima attenzione anche per la creazione e l’esecuzione di eseguibili Python (PyInstaller o Py2Exe) sui sistemi a rischio. Andrebbero poi monitorate tutte le attività sui server MSSQL, in particolare i tentativi di login ripetuti e l’esecuzione di comandi sospetti.
Condividi l'articolo
Tre aziende su quattro perdono i backup a causa del ransomware
Royal ransomware: anatomia di una nuova minaccia
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Il cybercrimine organizza competizioni per sviluppare nuovi... Uno dei modi migliori per condividere idee e favorire la... -
DDoS tramite dispositivi IoT: una minaccia sempre più... I dispositivi IoT stanno trasformando l’operatività... -
Fine Grain Password: un servizio Microsoft per gestire... La sicurezza delle password è un aspetto cruciale per... -
Le PMI italiane nel mirino dei ransomware Il fenomeno dei ransomware non si arresta e, anzi, continua... -
L’Italia è il quinto paese al mondo per furto di... Il furto di account rimane uno dei principali problemi di...
Minacce recenti
Off topic
-
Maythefourth: La caduta dell’Impero Galattico è... E se vi dicessimo che la saga di Star Wars ... -
Gli hacker e il cinema: i dieci migliori film secondo... Abbiamo rubato al blog di Kaspersky un vecchio pezzo di... -
Campione di scacchi blinda il PC. “Paura degli hacker” Il numero uno degli scacchi mondiali Magnus Carlsen ha... -
L’autore di fsociety pensa di essere Mr. Robot, ma è un... Il pirata informatico che ha creato il ransomware cerca... -
Yahoo sospende l’inoltro delle email. Paura di un esodo... Dopo la raffica di figuracce, l’azienda sospende per...
Post recenti
-
La Cina accusa gli Stati Uniti di cyberspionaggio contro... Sale la tensione tra Pechino e Washington: la Cina ha... -
Earth Lusca torna all’attacco con una nuova backdoor Earth Lusca è ancora in attività: il gruppo... -
Microsoft: una “gaffe” di sicurezza ha esposto... I ricercatori di Wiz, compagnia di sicurezza per il... -
Nasce HWG Sababa, il polo per guidare imprese e istituzioni... HWG, azienda di servizi gestiti e consulenza cyber, e... -
Scoperte tre vulnerabilità di command injection in... I ricercatori di Akamai hanno individuato tre...
Ransomware: la serie
No posts found.
