Istraživači cyber sigurnosti otkrili su, kako kažu, deveti zlonamjerni softver fokusiran na industrijski kontrolni sistem (ICS) koji je korišten u ometajućem cyber napadu usmjerenom na energetsku kompaniju u ukrajinskom gradu Lavovu ranije ovog januara.
Industrijska cyber-sigurnosna firma Dragos nazvala je zlonamjerni softver FrostyGoop , opisujući ga kao prvi soj zlonamjernog softvera koji direktno koristi Modbus TCP komunikacije za sabotiranje mreža operativne tehnologije (OT). Kompanija ga je otkrila u aprilu 2024.
“FrostyGoop je ICS-specifičan zlonamjerni softver napisan na Golangu koji može komunicirati direktno sa industrijskim kontrolnim sistemima (ICS) koristeći Modbus TCP preko porta 502”, rekli su istraživači Kyle O’Meara, Magpie (Mark) Graham i Carolyn Ahlers u tehničkom izvještaju podijeljeno sa The Hacker News.
Vjeruje se da je zlonamjerni softver, uglavnom dizajniran da cilja Windows sisteme, korišten za ciljanje ENCO kontrolera sa TCP portom 502 izloženim internetu. Nije vezan ni za jedan prethodno identificirani akter prijetnje ili klaster aktivnosti.
FrostyGoop dolazi sa mogućnostima čitanja i pisanja na ICS uređaj koji sadrži registre koji sadrže ulaze, izlaze i konfiguracijske podatke. Takođe prihvaća opcione argumente izvršavanja komandne linije, koristi konfiguracijske datoteke formatirane u JSON formatu za specificiranje ciljnih IP adresa i Modbus naredbi i evidentira izlaz na konzolu i/ili JSON datoteku.
Rečeno je da je incident usmjeren na opštinsku kompaniju za daljinsku energiju rezultirao gubitkom usluga grijanja u više od 600 stambenih zgrada za skoro 48 sati.
“Protivnici su poslali Modbus komande ENCO kontrolerima, uzrokujući netačna mjerenja i kvarove u sistemu”, rekli su istraživači u konferencijskom pozivu, napominjući da je početni pristup vjerovatno stečen korištenjem nepoznate ranjivosti u javno dostupnom Mikrotik ruteru u aprilu 2023.
“Protivnici su slali Modbus komande ENCO kontrolerima, uzrokujući netačna mjerenja i kvarove u sistemu. Sanacija je trajala skoro dva dana.”
Iako FrostyGoop u velikoj mjeri koristi Modbus protokol za komunikaciju klijent/server, daleko od toga da je jedini. U aprilu 2022. Dragos i Mandiant su detaljno opisali drugi ICS malver pod nazivom PIPEDREAM (aka INCONTROLLER) koji je koristio različite industrijske mrežne protokole kao što su OPC UA, Modbus i CODESYS za interakciju.
To je ujedno i deveti zlonamjerni softver fokusiran na ICS otkriven u divljini nakon Stuxneta, Havexa, Industroyera (aka CrashOverride), Tritona (aka Trisis), BlackEnergy2, Industroyer2 i COSMICENERGY.
Sposobnost zlonamjernog softvera da čita ili modificira podatke na ICS uređajima koji koriste Modbus ima ozbiljne posljedice po industrijske operacije i javnu sigurnost, rekao je Dragos, dodajući da više od 46.000 ICS uređaja izloženih internetu komunicira preko široko korištenog protokola.
“Specifično ciljanje ICS-a koji koristi Modbus TCP preko porta 502 i potencijal za direktnu interakciju sa različitim ICS uređajima predstavljaju ozbiljnu prijetnju kritičnoj infrastrukturi u više sektora”, rekli su istraživači.
„Organizacije moraju dati prioritet implementaciji sveobuhvatnih okvira cyber sigurnosti kako bi zaštitile kritičnu infrastrukturu od sličnih prijetnji u budućnosti.
Ažuriraj
Služba sigurnosti Ukrajine (SBU) je od tada potvrdila za Recorded Future News da je sajber napad kompromitovao infrastrukturu energetskog postrojenja Lvivteploenerg sa sjedištem u Lavovu.
Izvor:The Hacker News