Az új ICS malware, a “FrostyGoop” az ukrán kritikus infrastruktúrát támadja

A Dragos 2024 áprilisában fedezte fel a FrostyGoop malware-t, amely a kilencedik ipari vezérlőrendszerekre (ICS) specializált malware, és az első, amely a Modbus TCP kommunikációt használja az Operational Technology (OT) célpontjaira. A FrostyGoop az ipari ágazatokban világszerte általánosan használt Modbus protokollt használva közvetlenül kapcsolatba tud lépni az ICS-ekkel. A rosszindulatú szoftver felfedezése egy 2024 januárjában az ukrajnai Lvivben található városi távhőszolgáltató vállalat ellen elkövetett kibertámadáshoz kapcsolódik. Ez a támadás több mint 600 lakóház fűtési szolgáltatásait zavarta meg a fagypont alatti hőmérséklet idején. Az ellenfelek egy kifelé néző Mikrotik router sebezhetőségét használták ki, webshellt telepítettek, és a rosszindulatú szoftverrel Modbus parancsokat küldtek az ENCO vezérlőknek, ami rendszerhibákat okozott.

A FrostyGoop jelentősége abban rejlik, hogy képes kihasználni a Modbus TCP-t, az ICS-környezetekben széles körben használt protokollt, ami kritikus fenyegetést jelent az ipari infrastruktúrára. Az ukrajnai támadás kiemeli, hogy sürgősen szükség van az ICS-hálózatok erőteljes átláthatóságára, a Modbus forgalom felügyeletére és átfogó kiberbiztonsági intézkedésekre. Az, hogy a rosszindulatú szoftver képes volt kikerülni a vírusirtók észlelését és közvetlenül kommunikálni az ICS-eszközökkel, rávilágít a fokozott biztonsági ellenőrzések és a folyamatos OT-hálózati biztonsági felügyelet szükségességére. Dragos a SANS 5 kritikus ellenőrzésének végrehajtását ajánlja az ilyen fenyegetések mérséklésére, hangsúlyozva az incidensekre való reagálás, a védhető architektúra, a hálózati láthatóság, a biztonságos távoli hozzáférés és a kockázatalapú sebezhetőségkezelés fontosságát a kritikus infrastruktúra hasonló támadások elleni védelme érdekében.

(forrás)

(forrás)