Investigadores de Mandiant han identificado un malware diseñado para atentar contra las redes eléctricas y piden a las empresas energéticas que tomen medidas para hacer frente a lo que consideran una “amenaza inminente”.
En concreto el malware está diseñado para causar interrupciones en la energía eléctrica al interactuar con dispositivos IEC 60870-5-104 (IEC-104), como unidades terminales remotas (RTU), que comúnmente se aprovechan en las operaciones de transmisión y distribución eléctrica en Europa, Medio Oriente y Asia, explican los investigadores en un comunicado.
CosmicEnergy tiene similitudes con el malware utilizado en ataques anteriores dirigidos a las redes eléctricas, incluido el incidente ‘Industroyer’ que cortó el suministro eléctrico en Kiev, Ucrania, en 2016.
En opinión de los investigadores de Mandiant, lo que hace único a CosmicEnergy es que “un contratista puede haberlo desarrollado como una herramienta de equipo rojo para ejercicios de interrupción de energía simulados organizados por Rostelecom-Solar, una empresa rusa de ciberseguridad. El análisis del malware y su funcionalidad revela que sus capacidades son comparables a las empleadas en incidentes y malware anteriores, como Industroyer e Industroyer.v2, que fueron variantes de malware implementadas en el pasado para afectar la transmisión y distribución de electricidad a través de IEC-104.
Explican también que el descubrimiento de CosmicEnergy pone de manifiesto que las barreras de entrada para desarrollar capacidades ofensivas de OT están disminuyendo a medida que los actores aprovechan el conocimiento de ataques anteriores para desarrollar nuevo malware.
