Un conjunto de novedosas herramientas de ataque orientadas al sistema de control industrial (ICS), denominado Incontroller por investigadores de Mandiant y Schneider Electric, representa un riesgo crítico para las organizaciones que utilizan el equipo que incorpora los dispositivos de automatización de máquinas objetivo, según una nueva alerta.
Incontroller interactúa con elementos específicos de Schneider Electric y Omron integrados en varios tipos de maquinaria que están presentes en múltiples industrias. Los dispositivos de destino conocidos incluyen Schneider Electric Modicon M251, Modicon M258 y Modicon M221 Nano PLC, y Omron NX1P2 y NJ501 PLC y R88D-1SN10F-ECT servodrive. Es muy probable que estos hayan sido seleccionados por los operadores de Incontroller porque permiten el reconocimiento en entornos de destino específicos; este ha sido un modus operandi bastante estándar para los programas maliciosos de ICS en el pasado.
Nathan Brubaker, director de análisis de inteligencia de Mandiant, dijo: “Incontroller representa una capacidad de ataque cibernético excepcionalmente rara y peligrosa, después de Stuxnet, Industroyer y Triton como el cuarto malware ICS orientado a ataques.
“Es muy probable que Incontroller esté patrocinado por el estado y contenga capacidades relacionadas con la interrupción, el sabotaje y, potencialmente, la destrucción física. Si bien no podemos atribuir definitivamente el malware, notamos que la actividad es consistente con el interés histórico de Rusia en ICS.
“Incontroller representa un riesgo crítico para las organizaciones que aprovechan los dispositivos atacados y afectados. Las organizaciones deben tomar medidas inmediatas para determinar si los dispositivos ICS objetivo están presentes en sus entornos y comenzar a aplicar contramedidas, métodos de descubrimiento y herramientas de búsqueda específicos del proveedor”.
Incontroller incorpora tres herramientas que permiten al atacante golpear dispositivos ICS usando varios protocolos de red. Las herramientas se llaman Tagrun, Codecall y Omshell.
El primero, Tagrun, tiene una función de escaneo y reconocimiento, obteniendo una descripción detallada de los sistemas y procesos, pero también puede escribir y cambiar los valores de las etiquetas, lo que significa que podría usarse para modificar datos en apoyo de un ataque o para ofuscación.
Codecall, por su parte, sirve para comunicarse con los dispositivos ICS de Schneider Electric utilizando los protocolos Modbus y Codesys. Sus capacidades incluyen la capacidad de cargar, descargar y eliminar archivos en el dispositivo, desconectar sesiones existentes, intentar ataques de denegación de servicio distribuido (DDoS), provocar bloqueos y enviar paquetes sin procesar personalizados.
Finalmente, Omshell sirve para obtener acceso de shell a los dispositivos Omron a través de los protocolos HTTP y FINS patentados de Omron. Además de la enumeración de los dispositivos de destino, puede borrar la memoria del programa y realizar reinicios, conectarse a una puerta trasera en el dispositivo para la ejecución de comandos arbitrarios, eliminar procesos arbitrarios en el dispositivo y transferir archivos a él.
Mandiant dijo que es poco probable que las detecciones basadas en indicadores detecten Incontroller en los entornos de las víctimas, probablemente porque, al igual que sus malwares ICS similares, los atacantes seguramente lo habrán modificado y personalizado ampliamente. En su lugar, se debe prestar atención a los métodos de detección y caza basados en el comportamiento. Puede encontrar información más detallada sobre cómo detectar, confrontar y mitigar la amenaza aquí.
Aunque Mandiant se abstuvo de atribuir directamente a Incontroller a un actor ruso de amenazas persistentes avanzadas (APT), dijo que la evidencia histórica apuntaba en esa dirección. Como tal, es probable que Incontroller sea una amenaza más apremiante para las organizaciones con presencia en Ucrania y, en menor medida, en los estados miembros de la OTAN y otros países aliados.
Incontroller es el segundo conjunto de herramientas de malware específico de ICS que surge en el espacio de una semana. El 12 de abril, los investigadores de ESET, junto con el equipo de respuesta a emergencias informáticas del gobierno de Ucrania, CERT-UA, revelaron la existencia de Industroyer2, que se utilizó en un ataque contra una compañía eléctrica ucraniana. El ataque fue repelido con éxito.
Un hijo de Industroyer, una herramienta de Sandworm o Voodoo Bear APT, y vinculado a la agencia de inteligencia GRU de Rusia, Industroyer2 apuntó a los sistemas operativos Windows, Linux y Solaris en las subestaciones eléctricas de alto voltaje del objetivo. Es un malware muy específico y es probable que esté hecho a medida para cada objetivo seleccionado por sus operadores.
A la luz de estas revelaciones, el 13 de abril, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. emitió una nueva alerta sobre la amenaza a la infraestructura de ICS, incluida la de Incontroller.