Aggiornamenti recenti Settembre 17th, 2024 9:58 AM
Mag 30, 2023 Marina Londei Approfondimenti, Attacchi, Attacchi, Campagne malware, Malware, Minacce, News, RSS, Tecnologia, Vulnerabilità 0
Mandiant ha individuato un nuovo malware creato per colpire i sistemi OT e causare interruzioni alla rete elettrica. Battezzato “COSMICENERGY” dai ricercatori, il malware interagisce coi dispositivi IEC 60870-5-104, come i dispositivi di controllo RTU.
Secondo i ricercatori della firma di sicurezza sembra che il malware sia stato sviluppato a partire da un tool di red teaming per simulare interruzioni di corrente nei sistemi. Il tool sarebbe legato a Rostelecom-Solar, una compagnia russa di cybersecurity.
COSMICENERGY è composto da due componenti principali: PIEHOP, un tool in Python in grado di connettersi a un server MSSQL remoto per eseguire comandi, e LIGHTWORK, un tool scritto in C++ che implementa il protocollo IEC-104 per modificare lo stato di un dispositivo RTU attraverso TCP. Nel dettaglio, il primo strumento usa il secondo per modificare lo stato su “ON” o “OFF” dei dispositivi remoti.
Per essere efficace il malware ha bisogno di conoscere alcune informazioni dei sistemi quali in primis l’indirizzo IP del server MSSQL, le credenziali del server e gli indirizzi IP dei dispositivi IEC-104 target, ma non ha un modulo adibito a queste attività. Il codice analizzato dai ricercatori riportava otto information object address (IOA) di dispositivi IEC-104 scritti direttamente nel codice, ottenuti in precedenza con altri tool.
Al momento non è chiaro quali siano le vittime degli attaccanti dietro COSCMICENERGY o le motivazioni degli attacchi. La presenza di un modulo associato a un progetto chiamato “Solar Polygon” ha portato i ricercatori a Rostelecom-Solar; la compagnia in passato è stata sovvenzionata dal governo russo e, anche se al momento non ci sono abbastanza prove per affermarlo con certezza, è probabile che il malware sia stato sviluppato in accordo col governo.
I ricercatori di sicurezza hanno trovato in COSMICENERGY molte somiglianze con INDUSTROYER e INDUSTROYER.V2, oltre che con famiglie di malware OT quali IRONGATE, TRITON e INCONTROLLER; secondo Mandiant è un’indicazione del fatto che le barriere contro le minacce OT si stanno abbassando, visto che gli attaccanti stanno rimaneggiando vecchi malware per sferrare nuovi attacchi.
I ricercatori prevedono che i malware OT continueranno ad abusare dei protocolli non sicuri, come l’IEC-104, e sfrutteranno librerie open-source per l’implementazione dei protocolli. Python continuerà a essere il linguaggio preferito dagli attaccanti per compilare e distribuire i malware OT.
Al fine di individuare attività sospette legate a malware OT, le imprese dovrebbero monitorare i sistemi che hanno accesso alle risorse OT, individuando eventuali cartelle e file temporanei che possono indicare la presenza di malware. Massima attenzione anche per la creazione e l’esecuzione di eseguibili Python (PyInstaller o Py2Exe) sui sistemi a rischio. Andrebbero poi monitorate tutte le attività sui server MSSQL, in particolare i tentativi di login ripetuti e l’esecuzione di comandi sospetti.
Apr 12, 2024 0
Gen 15, 2024 0
Ott 25, 2023 0
Lug 20, 2023 0
Set 17, 2024 0
Set 16, 2024 0
Set 16, 2024 0
Set 13, 2024 0
Set 13, 2024 0
Nel suo ultimo Patch Tuesday Microsoft aveva segnalato la...Set 06, 2024 0
Il quishing non è una minaccia nuova, ma negli ultimi...Set 05, 2024 0
Cresce il numero di minacce informatiche contro il settore...Set 05, 2024 0
Gli attacchi di furto di account (account takeover) sono...Set 03, 2024 0
Le identità digitali si moltiplicano e con esse anche le...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Set 17, 2024 0
Pochi giorni fa il Port of Seattle, l’agenzia...Set 16, 2024 0
I ricercatori di Doctor Web hanno scoperto Vo1d, unSet 16, 2024 0
Nel corso dell’ultima settimana, il CERT-AGID ha...Set 13, 2024 0
I ricercatori di Aqua Nautilus hanno individuato un nuovo...Set 13, 2024 0
Nel suo ultimo Patch Tuesday Microsoft aveva segnalato la...