Según una nueva alerta, un conjunto de novedosas herramientas de ataque dirigidas a sistemas de control industrial (ICS), denominadas incontrollers por investigadores de Mandiant y Schneider Electric, representan un riesgo crítico para las organizaciones que utilizan el equipo que contiene los dispositivos de automatización de máquinas objetivo.
Incontroller interactúa con elementos específicos de Schneider Electric y Omron integrados en diferentes tipos de máquinas presentes en múltiples industrias. Los objetivos conocidos incluyen los PLC Schneider Electric Modicon M251, Modicon M258 y Modicon M221 Nano, así como los PLC Omron NX1P2 y NJ501 y los servoaccionamientos ECT R88D-1SN10F. Lo más probable es que estos hayan sido elegidos por los operadores de Incontroller porque permiten el reconocimiento en entornos objetivo específicos; esta ha sido una práctica bastante común para el malware ICS en el pasado.
Nathan Brubaker, director de análisis de inteligencia de Mandiant, dijo: “Incontroller es el cuarto malware ICS centrado en ataques, después de Stuxnet, Industroyer y Triton, que presenta una capacidad de ciberataque excepcionalmente rara y peligrosa.
“Es muy probable que Incontroller esté patrocinado por el estado y contenga habilidades relacionadas con la interrupción, el sabotaje y posiblemente la destrucción física. Si bien no podemos identificar positivamente el malware, notamos que la actividad es consistente con el interés histórico de Rusia en ICS.
“Incontroller representa un riesgo crítico para las organizaciones que utilizan dispositivos específicos y afectados. Las empresas deben tomar medidas de inmediato para determinar si los dispositivos ICS objetivo están presentes en su entorno y comenzar a aplicar contramedidas, métodos de detección y herramientas de búsqueda específicos del proveedor”.
Incontroller incluye tres herramientas que permiten al atacante atacar dispositivos ICS utilizando diferentes protocolos de red. Las herramientas se llaman Tagrun, Codecall y Omshell.
El primero, Tagrun, tiene una capacidad de escaneo y reconocimiento y obtiene una vista detallada de los sistemas y procesos, pero también puede escribir y cambiar los valores de las etiquetas, lo que significa que se utilizan para modificar los datos para respaldar un ataque o para ofuscarlos.
Codecall, por otro lado, se utiliza para comunicarse con dispositivos Schneider Electric ICS a través de los protocolos Modbus y Codesys. Sus capacidades incluyen cargar, descargar y eliminar archivos en el dispositivo, desconectar sesiones existentes, intentar ataques de denegación de servicio distribuido (DDoS), causar bloqueos y enviar paquetes sin procesar personalizados.
Finalmente, Omshell sirve para obtener acceso de shell a los dispositivos Omron a través de HTTP y el protocolo FINS patentado de Omron. Además de enumerar los dispositivos de destino, puede borrar la memoria del programa y realizar reinicios, conectarse a una puerta trasera en el dispositivo para ejecutar comandos arbitrarios, eliminar procesos arbitrarios en el dispositivo y transferir archivos a él.
Mandiant dijo que es poco probable que las detecciones basadas en indicadores detecten Incontroller en los entornos de las víctimas, probablemente porque los atacantes lo han modificado y personalizado casi con certeza, como su malware ICS. En su lugar, se debe prestar atención a los métodos de búsqueda y detección basados en el comportamiento. Para obtener información más detallada sobre cómo detectar, confrontar y contener la amenaza, haga clic aquí.
Aunque Mandiant se abstuvo de atribuir directamente a Incontroller a un actor ruso de Advanced Persistent Threat (APT), la evidencia histórica apuntaba en esa dirección. Como tal, es probable que Incontroller sea una amenaza más apremiante para las organizaciones con presencia en Ucrania y, en menor medida, para los estados miembros de la OTAN y otros países aliados.
Incontroller es el segundo grupo de herramientas de malware específico de ICS que aparece en una semana. El 12 de abril, investigadores de ESET junto con el equipo de emergencias informáticas del gobierno ucraniano, CERT-UA, revelaron la existencia de Industroyer2, que fue utilizado en un ataque a una compañía eléctrica ucraniana. El ataque fue repelido con éxito.
Un hijo de Industroyer, una herramienta de Sandworm o Voodoo Bear APT y afiliado a la agencia de inteligencia rusa GRU, Industroyer2 apuntó a los sistemas operativos Windows, Linux y Solaris en las subestaciones de alto voltaje del objetivo. Es un malware altamente dirigido que probablemente esté especialmente diseñado para cada objetivo elegido por sus operadores.
A la luz de estas revelaciones, el 13 de abril, la Agencia de Seguridad Cibernética y Seguridad de Infraestructura de EE. UU. emitió una nueva alerta sobre amenazas a la infraestructura de ICS, incluida la amenaza de Incontrollers.