Mandiant sta segnalando un nuovo malware OT (Operational Technology) specializzato sotto il nome di COSMICENERGY. Il malware prende di mira le unità terminali remote (RTU) e potrebbe causare interruzioni di corrente.
Secondo Mandiant, il malware COSMICENERGY è progettato per causare interruzioni di corrente. Per fare ciò, il malware interagisce con le unità terminali remote (RTU), comunemente utilizzate per la trasmissione e la distribuzione di energia in Europa, Asia e Medio Oriente.
A rischio i distributori europei di energia
Mandiant sospetta che un appaltatore della società russa di sicurezza informatica Rostelecom-Solar possa aver sviluppato il malware come parte di uno strumento di Red Teaming per simulare interruzioni di corrente. Secondo fonti pubbliche, Rostelecom-Solar ha ricevuto sovvenzioni dal governo russo nel 2019. Questo per formare esperti di sicurezza informatica e condurre esercitazioni su interruzioni di corrente e risposta alle emergenze.
Con gli attori delle minacce che utilizzano strumenti del Red Team e framework di sfruttamento pubblico per lanciare attacchi informatici mirati in natura, Mandiant ritiene che COSMICENERGY rappresenti una "minaccia ragionevole per le risorse energetiche interessate".
L'analisi del malware e del suo funzionamento mostra i seguenti risultati:
- COSMICENERGY è simile alle caratteristiche osservate in INDUSTROYER e INDUSTROYER.V2.
- COSMICENERGY condivide chiare somiglianze tecniche con altre famiglie di malware OT come IRONGATE, TRITON e INCONTROLLER.
- Queste osservazioni suggeriscono che le barriere all'ingresso per le minacce OT offensive si stanno abbassando.
Mandiant offre un post sul blog in lingua inglese sull'argomento.
Altro su Mandiant.com
A proposito di clienti Mandiant è un leader riconosciuto nella difesa informatica dinamica, nell'intelligence sulle minacce e nella risposta agli incidenti. Con decenni di esperienza sul fronte informatico, Mandiant aiuta le organizzazioni a difendersi in modo sicuro e proattivo dalle minacce informatiche e a rispondere agli attacchi. Mandiant fa ora parte di Google Cloud.