Tabla de Contenidos
Descubrimiento del Malware CosmicEnergy
El panorama de las amenazas cibernéticas nunca duerme. Se ha identificado una nueva cepa de malware llamada CosmicEnergy, que es capaz de infiltrarse y perturbar sistemas esenciales en entornos industriales. La firma de inteligencia de amenazas Mandiant, propiedad de Google, hizo público el hallazgo de esta amenaza emergente.
![Cosmicenergy: Revelado El Nuevo Malware Listo Para Desestabilizar El Suministro Eléctrico Mandiant Cosmicenergy | Cibernota](https://www.mandiant.com/sites/default/files/inline-images/mandiant-google-banner.png)
CosmicEnergy: la Nueva Ameaza Invisible
La funcionalidad primaria de CosmicEnergy radica en su diseño para provocar interrupciones en el suministro eléctrico. Interactúa con los dispositivos IEC 60870-5-104 (IEC-104), como las Unidades Terminales Remotas (RTU), ampliamente utilizados en las operaciones de transmisión y distribución eléctrica en Europa, Medio Oriente y Asia.
![Cosmicenergy: Revelado El Nuevo Malware Listo Para Desestabilizar El Suministro Eléctrico Modbus Tcp/Ip To Iec 60870-5-104 Gateway - Prosoft Technology, Inc.](https://mx.prosoft-technology.com/var/plain_site/storage/images/media/images/schematic-diagrams/gateways-schematics/plx3x-schematics/plx32-mbtcp-104-schematic01/316770-1-eng-US/PLX32-MBTCP-104-schematic01.png)
Posibles Orígenes de CosmicEnergy
Existen vínculos circunstanciales que sugieren que la empresa de telecomunicaciones rusa Rostelecom-Solar podría haber desarrollado CosmicEnergy como una herramienta para simular la interrupción de la energía y realizar ejercicios de respuesta a emergencias. Esta posibilidad plantea la teoría de que el malware fue creado para recrear escenarios de ataques realistas contra las redes eléctricas.
![Cosmicenergy: Revelado El Nuevo Malware Listo Para Desestabilizar El Suministro Eléctrico Image 9](https://cibernota.com/wp-content/uploads/2023/05/image-9.png)
Funcionalidad de CosmicEnergy
CosmicEnergy comparte similitudes con Industroyer, un malware atribuido al grupo respaldado por el Kremlin, Sandworm. Ambos malwares aprovechan el protocolo de comunicación industrial IEC-104 para emitir comandos a las RTU. Esto permite a un atacante enviar órdenes remotas para alterar el funcionamiento de los interruptores de línea de alimentación y los interruptores de circuito, causando interrupciones de energía.
![Cosmicenergy: Revelado El Nuevo Malware Listo Para Desestabilizar El Suministro Eléctrico Luz Interrumpida](https://www.politico.com/dims4/default/c8f2c9f/2147483647/strip/true/crop/1160x773+0+0/resize/630x420!/quality/90/?url=https%3A%2F%2Fstatic.politico.com%2F99%2F6e%2Fb7b62f3345158cc19b9c81b5d816%2F221226-washington-power-ap.jpg)
Componentes Clave: PieHop y Lightwork
Dos elementos, PieHop y Lightwork, son las herramientas de interrupción escritas en Python y C ++ respectivamente que transmiten los comandos IEC-104 al equipo industrial conectado. Sin embargo, CosmicEnergy carece de capacidades de intrusión y descubrimiento, lo que indica que necesita un operador que realice un reconocimiento interno de la red para determinar las direcciones IP del dispositivo IEC-104 que se dirigen.
![Cosmicenergy: Revelado El Nuevo Malware Listo Para Desestabilizar El Suministro Eléctrico Cosmicenergy Execution Chain](https://www.mandiant.com/sites/default/files/inline-images/cosmicenergy-fig1.png)
Conclusiones y Recomendaciones
El hallazgo de CosmicEnergy resalta nuevos desarrollos en el paisaje de las amenazas a la Tecnología Operativa (OT). Destaca la importancia de estar familiarizado con las familias de malware y cómo funcionan para mantener programas de caza y detección de amenazas eficaces.