网络安全研究人员发现了他们所说的第九种以工业控制系统 (ICS) 为重点的恶意软件,该恶意软件已被用于今年 1 月初针对乌克兰利沃夫市一家能源公司的破坏性网络攻击。工业网络安全公司 Dragos 将该恶意软件称为 FrostyGoop,称其为第一个直接使用 Modbus TCP 通信破坏运营技术 (OT) 网络的恶意软件。该公司于 2024 年 4 月发现了它。“FrostyGoop 是一种用 Golang 编写的特定于 ICS 的恶意软件,可以通过端口 502 使用 Modbus TCP 直接与工业控制系统 (ICS) 交互,”研究人员 Kyle O’Meara、Magpie (Mark) Graham 和 Carolyn Ahlers 在与 The Hacker News 分享的一份技术报告中说。据信,该恶意软件主要针对 Windows 系统而设计,已被用于针对 TCP 端口 502 暴露在互联网上的 ENCO 控制器。它未与任何先前确定的威胁参与者或活动集群相关联。FrostyGoop 具有读取和写入 ICS 设备的功能,该设备保存包含输入、输出和配置数据的寄存器。它还接受可选的命令行执行参数,使用 JSON 格式的配置文件指定目标 IP 地址和 Modbus 命令,并将输出记录到控制台和/或 JSON 文件。据称,针对市政区能源公司的事件导致600多栋公寓楼的供暖服务中断了近48小时。研究人员在电话会议上表示:“对手向 ENCO 控制器发送了 Modbus 命令,导致测量不准确和系统故障,”并指出初始访问可能是通过利用 2023 年 4 月 Mikrotik 路由器中的一个漏洞获得的。“攻击者向ENCO控制器发送Modbus命令,导致测量不准确和系统故障。整治花了将近两天时间。虽然 FrostyGoop 广泛使用 Modbus 协议进行客户端/服务器通信,但它远非唯一的协议。2022 年,Dragos 和 Mandiant 详细介绍了另一种名为 PIPEDREAM(又名 INCONTROLLER)的 ICS 恶意软件,该恶意软件利用 OPC UA、Modbus 和 CODESYS 等各种工业网络协议进行交互。它也是继 Stuxnet、Havex、Industroyer(又名 CrashOverride)、Triton(又名 Trisis)、BlackEnergy2、Industroyer2 和 COSMICENERGY 之后的第九个以 ICS 为重点的恶意软件。Dragos表示,该恶意软件使用Modbus读取或修改ICS设备上的数据的能力对工业运营和公共安全产生了严重后果,并增加了超过46,000个暴露在互联网上的ICS设备通过广泛使用的协议进行通信。研究人员表示:“在端口502上使用Modbus TCP对ICS的特定目标,以及与各种ICS设备直接交互的可能性,对多个部门的关键基础设施构成了严重威胁。“组织必须优先实施全面的网络安全框架,以保护关键基础设施免受未来类似威胁。”
