0
0
Um software russo capaz de desligar (ou ligar) máquinas industriais, com paralelos com alguns dos malwares industriais mais perigosos do mundo, foi visto publicamente ocioso no VirusTotal (VT).
Pesquisadores da Mandiant detectaram o “CosmicEnergy” recentemente, observando que ele havia sido carregado por um usuário russo em dezembro de 2021. O mistério só se aprofundou com um comentário específico no código – evidências de que a ferramenta pode ter sido projetada para um exercício de equipe vermelha de interrupção de energia hospedado pela empresa russa de segurança cibernética Rostelecom-Solar.
“Consideramos (…) possível que um ator diferente – com ou sem permissão – reutilizou o código associado ao alcance cibernético para desenvolver esse malware”, especularam os pesquisadores em um post no blog em 25 de maio.
Longe de qualquer amostra de VT comum ou ferramenta de equipe vermelha, a CosmicEnergy “representa uma ameaça plausível aos ativos da rede elétrica afetados”, explicaram, graças à sua capacidade de manipular um tipo de dispositivo de controle industrial chamado unidade terminal remota (RTU).
Um RTU é um tipo especial de controlador industrial que usa telemetria para fazer interface entre máquinas industriais e seus sistemas de controle. Sua função é relativamente simples – receber dados e repassá-los para análise – mas, crucialmente, é capaz de ligar e desligar processos industriais automatizados.
De muitas maneiras, o CosmicEnergy é modelado após o Industroyer – o primeiro malware projetado para derrubar uma rede elétrica – particularmente a mais nova variante do Industroyer, implantada no ano passado pelo Sandworm de ameaça persistente avançada (APT) russo em um ataque contra a Ucrânia. Os pesquisadores também o compararam a alguns dos outros programas mais diabólicos que já tocaram redes industriais, incluindo Irongate, Ironcontroller e Triton/Trisis.
Para Daniel Kapellmann Zafra, gerente de análise da Mandiant no Google Cloud, a CosmicEnergy demonstra o quão acessível o malware projetado para danos cinéticos pode ser. “Eles já aprenderam a fazer; isso é o que torna tudo muito preocupante”, diz.
O que saber sobre o malware CosmicEnergy
Usando o CosmicEnergy, um invasor pode causar interrupção de energia simplesmente enviando um comando para acionar um interruptor de linha de energia ou disjuntor. Consegue isso com dois componentes.
Primeiro, o PieHop é uma ferramenta baseada em Python que conecta um servidor MSSQL controlado por invasores a uma RTU em um local industrial de destino.
Em seguida, o PieHop usa o segundo componente, Lightwork, uma ferramenta baseada em C++, para aproveitar os recursos de alternância de uma RTU, modificando o estado da RTU antes de apagar o executável do sistema de destino.
Os pesquisadores observaram que “a amostra do PieHop que obtivemos contém erros de lógica de programação que o impedem de executar com sucesso seus recursos de controle IEC-104”, mas acrescentaram que “acreditamos que esses erros podem ser facilmente corrigidos”.
RTUs industriais são inseguras por design
Do lado de fora, pode-se supor que um dispositivo no controle de processos industriais sensíveis estaria armado até os dentes com segurança. Mas isso não poderia estar mais longe da verdade.
“Na maioria das vezes, não há segurança adicional neste momento”, diz Kapellmann Zafra, da Mandiant, sobre a RTU e controladores semelhantes. “É uma tendência que os tipos recentes de famílias de malware que temos visto em OT estejam aproveitando protocolos que são abertos.”
As RTUs são vítimas do fenômeno “inseguro por design”, nomeado e popularizado há mais de uma década pelo influenciador de segurança industrial Dale Peterson. A ideia, em suma, é que as máquinas industriais muitas vezes são projetadas para operar em ambientes confiáveis, sem segurança em mente, devido à idade, complexidade e outros fatores. Muitas vezes, seus recursos — as próprias funções detalhadas em seus manuais — poderiam, em um contexto de segurança, ser interpretados como vulnerabilidades.
Para qualquer pessoa acostumada com TI, soará retrógrado que, por exemplo, as RTUs nem sequer aplicam criptografia básica a seus fluxos de dados de entrada ou saída. Como explica Kapellmann Zafra, “quando você está trabalhando com dados de uma perspectiva de TI tradicional, o que você realmente quer ter certeza é que ninguém pode ter acesso aos dados. No entanto, no caso da segurança OT, esses dados estão apoiando um processo. Então, o que mais importa é que esse dado cumpra seu propósito e seu processo continue operando como se esperava.”
Em outras palavras, a segurança dos dados é menor no totem do que a segurança e a confiabilidade. “As prioridades do ponto de vista da OT são diferentes e, com base nisso, não implementamos controles de segurança que possam interferir em um processo ciberfísico”, diz o pesquisador.
Como há uma abertura a esses dispositivos críticos, a defesa contra a CosmicEnergy – ou Industroyer ou Triton, aliás – requer consideração e proatividade. “Não é tão simples quanto ter todos os tipos de soluções de segurança diferentes”, diz Kapellmann Zafra.
Ele destaca a detecção como a chave. “Porque mesmo que tenhamos as regras e IoCs para o malware, o que estamos vendo com esses tipos de implementações é que, muitas vezes, você não pode simplesmente executar uma regra e esperar que vai encontrá-la. É preciso manter os olhos abertos para comportamentos que não são esperados.”
FONTE: DARK READING