Recentemente, i ricercatori di sicurezza informatica hanno scoperto un nuovo malware denominato FrostyGoop, focalizzato sui sistemi di controllo industriale (ICS). Questo malware è stato utilizzato in un attacco informatico che ha colpito una compagnia energetica nella città ucraina di Leopoli all'inizio di gennaio. L'azienda di cybersecurity industriale Dragos ha identificato FrostyGoop come il primo malware in grado di utilizzare direttamente le comunicazioni Modbus TCP per sabotare le reti di tecnologia operativa (OT). La scoperta è avvenuta nell'aprile 2024.
FrostyGoop è un malware specifico per ICS scritto in Golang e può interagire direttamente con i sistemi di controllo industriale utilizzando Modbus TCP sulla porta 502. È stato progettato principalmente per colpire sistemi Windows e ha mirato in particolare ai controller ENCO con la porta TCP 502 esposta a Internet. Non è stato collegato a nessun attore di minacce o cluster di attività precedentemente identificato.
Il malware possiede la capacità di leggere e scrivere sui registri di dispositivi ICS che contengono dati di input, output e configurazione. Inoltre, accetta argomenti opzionali di esecuzione da linea di comando, utilizza file di configurazione in formato JSON per specificare indirizzi IP target e comandi Modbus, e registra l'output su una console e/o un file JSON.
L'incidente che ha colpito la compagnia energetica del distretto municipale ha portato alla perdita del servizio di riscaldamento per oltre 600 edifici per quasi 48 ore. Gli avversari hanno inviato comandi Modbus ai controller ENCO, causando misurazioni inaccurate e malfunzionamenti del sistema. Si ritiene che l'accesso iniziale sia stato ottenuto sfruttando una vulnerabilità sconosciuta in un router Mikrotik accessibile pubblicamente nell'aprile 2023.
Mentre FrostyGoop utilizza ampiamente il protocollo Modbus per le comunicazioni client/server, non è l'unico malware a farlo. Nell'aprile 2022, Dragos e Mandiant hanno dettagliato un altro malware ICS chiamato PIPEDREAM (conosciuto anche come INCONTROLLER) che sfruttava vari protocolli di rete industriali come OPC UA, Modbus e CODESYS per l'interazione.
FrostyGoop è il nono malware focalizzato su ICS scoperto in natura, dopo Stuxnet, Havex, Industroyer (conosciuto anche come CrashOverride), Triton (conosciuto anche come Trisis), BlackEnergy2, Industroyer2 e COSMICENERGY. La capacità del malware di leggere o modificare dati sui dispositivi ICS utilizzando Modbus ha gravi conseguenze per le operazioni industriali e la sicurezza pubblica. Dragos ha sottolineato che oltre 46.000 dispositivi ICS esposti a Internet comunicano tramite il protocollo ampiamente utilizzato.
La specifica focalizzazione di ICS utilizzando Modbus TCP sulla porta 502 e la potenziale interazione diretta con vari dispositivi ICS rappresentano una seria minaccia per le infrastrutture critiche in diversi settori. Le organizzazioni devono prioritizzare l'implementazione di framework di cybersecurity completi per proteggere le infrastrutture critiche da minacce simili in futuro. La Security Service of Ukraine (SBU) ha confermato che l'attacco informatico ha compromesso l'infrastruttura dell'impianto energetico di Leopoli, Lvivteploenerg.
