Pesquisadores de segurança cibernética descobriram o que eles dizem ser o nono malware focado em Sistemas de Controle Industrial (ICS) que foi usado em um ataque cibernético disruptivo direcionado a uma empresa de energia na cidade ucraniana de Lviv no início de janeiro.
A empresa de segurança cibernética industrial Dragos apelidou o malware Gostinho de Gelodescrevendo-o como a primeira cepa de malware a usar diretamente comunicações Modbus TCP para sabotar redes de tecnologia operacional (OT). Foi descoberto pela empresa em abril de 2024.
“FrostyGoop é um malware específico para ICS escrito em Golang que pode interagir diretamente com Sistemas de Controle Industrial (ICS) usando Modbus TCP na porta 502”, disseram os pesquisadores Kyle O'Meara, Magpie (Mark) Graham e Carolyn Ahlers em um relatório técnico compartilhado com o The Hacker Information.
Acredita-se que o malware, projetado principalmente para atingir sistemas Home windows, foi usado para atingir controladores ENCO com porta TCP 502 exposta à web. Ele não foi vinculado a nenhum ator de ameaça ou cluster de atividade previamente identificado.
O FrostyGoop vem com capacidades para ler e escrever em um dispositivo ICS que contém registros contendo entradas, saídas e dados de configuração. Ele também aceita argumentos de execução de linha de comando opcionais, usa arquivos de configuração formatados em JSON para especificar endereços IP de destino e comandos Modbus, e registra a saída em um console e/ou um arquivo JSON.
O incidente que teve como alvo a empresa de energia do distrito municipal teria resultado na perda de serviços de aquecimento para mais de 600 prédios de apartamentos por quase 48 horas.
“Os adversários enviaram comandos Modbus aos controladores ENCO, causando medições imprecisas e mau funcionamento do sistema”, disseram os pesquisadores em uma teleconferência, observando que o acesso inicial provavelmente foi obtido pela exploração de uma vulnerabilidade nos roteadores Mikrotik em abril de 2023.
“Os adversários enviaram comandos Modbus para controladores ENCO, causando medições imprecisas e mau funcionamento do sistema. A correção levou quase dois dias.”
Embora o FrostyGoop empregue extensivamente o protocolo Modbus para comunicações cliente/servidor, ele está longe de ser o único. Em 2022, Dragos e Mandiant detalharam outro malware ICS chamado PIPEDREAM (também conhecido como INCONTROLLER) que alavancou vários protocolos de rede industrial, como OPC UA, Modbus e CODESYS para interação.
É também o nono malware focado em ICS, depois de Stuxnet, Havex, Industroyer (também conhecido como CrashOverride), Triton (também conhecido como Trisis), BlackEnergy2, Industroyer2 e COSMICENERGY.
A capacidade do malware de ler ou modificar dados em dispositivos ICS usando Modbus tem consequências graves para as operações industriais e a segurança pública, disse Dragos, acrescentando que mais de 46.000 dispositivos ICS expostos à Web se comunicam pelo protocolo amplamente utilizado.
“O direcionamento específico do ICS usando Modbus TCP na porta 502 e o potencial de interagir diretamente com vários dispositivos ICS representam uma séria ameaça à infraestrutura crítica em vários setores”, disseram os pesquisadores.
“As organizações devem priorizar a implementação de estruturas abrangentes de segurança cibernética para proteger a infraestrutura crítica de ameaças semelhantes no futuro.”
