FrostyGoop: новый вирус отключает отопление на Украине

[Artifact]

Dragos раскрывает детали работы вредоноса, нацеленного на ICS-системы.
В январе Украина столкнулась с кибератакой, в результате которой сотни жителей Львова остались без отопления на 2 дня. Злоумышленники использовали ранее неизвестное вредоносное ПО FrostyGoop, нацеленное на ICS-системы. В новом отчете специалисты Dragos описали работу вредоноса.
FrostyGoop стал первым вирусом, напрямую использующим протокол Modbus TCP для саботажа сетей операционных технологий (OT). Вирус был впервые выявлен компанией в апреле 2024 года. FrostyGoop написан на Golang и может напрямую взаимодействовать с ICS-системами через Modbus TCP по порту 502. Вирус нацелен в основном на системы Windows и использует ENCO контроллеры с открытым доступом к порту 502 в интернете.
Вредоносное ПО способно читать и записывать данные на ICS-устройства, управлять регистрами, содержащими входные и выходные данные, а также конфигурационную информацию. FrostyGoop использует файлы конфигурации в формате JSON для задания целевых IP-адресов и команд Modbus, а также записывает результаты в консоль и/или в файл JSON.
Кибератака была направлена на муниципальную компанию, обеспечивающую централизованное отопление более 600 многоквартирных домов во Львове. Вредоносное ПО FrostyGoop изменило значения на контроллерах температуры, что привело к подаче холодной воды вместо горячей. Жители города остались без отопления и горячей воды на протяжении почти 48 часов.
Злоумышленники отправляли команды Modbus на контроллеры ENCO, что вызывало некорректные измерения и сбои в работе систем. Для устранения последствий атаки потребовалось почти 2 дня. Первоначальный доступ к системам был, вероятно, получен через уязвимость в маршрутизаторах Mikrotik в апреле 2023 года.
Несмотря на широкое использование протокола Modbus для клиент-серверных коммуникаций, FrostyGoop не является единственным примером подобного ПО. В 2022 году компании Dragos и Mandiant представили другое вредоносное ПО для ICS под названием PIPEDREAM (INCONTROLLER), которое использовало различные промышленные сетевые протоколы для взаимодействия с системами.
Исследователи подчеркнули, что целенаправленное использование Modbus TCP по порту 502 и возможность прямого взаимодействия с различными ICS-устройствами представляет серьезную угрозу для критической инфраструктуры в различных секторах. Организации должны приоритетно внедрять комплексные системы кибербезопасности для защиты критической инфраструктуры от подобных угроз в будущем.