Nieuwe ICS-malware ‘FrostyGoop’ richt zich op kritieke infrastructuur

Cybersecurityonderzoekers hebben volgens hen de negende malware ontdekt die zich richt op Industrial Control Systems (ICS). Deze malware is gebruikt bij een cyberaanval die eerder deze januari gericht was op een energiebedrijf in de Oekraïense stad Lviv.

Het industriële cybersecuritybedrijf Dragos heeft de malware de naam FrostyGoopen beschreef het als de eerste malware-stam die Modbus TCP-communicatie rechtstreeks gebruikte om operationele technologie (OT)-netwerken te saboteren. Het werd in april 2024 door het bedrijf ontdekt.

“FrostyGoop is een ICS-specifieke malware geschreven in Golang die rechtstreeks kan communiceren met Industrial Control Systems (ICS) via Modbus TCP via poort 502”, aldus onderzoekers Kyle O’Meara, Magpie (Mark) Graham en Carolyn Ahlers in een technisch rapport dat is gedeeld met The Hacker News.

Er wordt aangenomen dat de malware, die voornamelijk is ontworpen om Windows-systemen te targeten, is gebruikt om ENCO-controllers te targeten met TCP-poort 502 blootgesteld aan het internet. Het is niet gekoppeld aan een eerder geïdentificeerde bedreigingsactor of activiteitscluster.

FrostyGoop beschikt over mogelijkheden om te lezen en schrijven naar een ICS-apparaat dat registers bevat met invoer, uitvoer en configuratiegegevens. Het accepteert ook optionele opdrachtregeluitvoeringsargumenten, gebruikt JSON-geformatteerde configuratiebestanden om doel-IP-adressen en Modbus-opdrachten te specificeren en logt uitvoer naar een console en/of een JSON-bestand.

Het incident waarbij het gemeentelijke energiebedrijf betrokken was, zou ervoor gezorgd hebben dat ruim 600 appartementengebouwen bijna 48 uur lang zonder verwarming zaten.

“De aanvallers stuurden Modbus-opdrachten naar ENCO-controllers, wat leidde tot onnauwkeurige metingen en systeemstoringen”, aldus de onderzoekers in een telefonische vergadering. Zij merkten op dat de eerste toegang waarschijnlijk werd verkregen door misbruik te maken van een kwetsbaarheid in Mikrotik-routers in april 2023.

“De tegenstanders stuurden Modbus-opdrachten naar ENCO-controllers, wat leidde tot onnauwkeurige metingen en systeemstoringen. Het duurde bijna twee dagen om het te verhelpen.”

Hoewel FrostyGoop uitgebreid gebruikmaakt van het Modbus-protocol voor client/server-communicatie, is het verre van het enige. In 2022 beschreven Dragos en Mandiant een andere ICS-malware genaamd PIPEDREAM (ook bekend als INCONTROLLER) die gebruikmaakte van verschillende industriële netwerkprotocollen zoals OPC UA, Modbus en CODESYS voor interactie.

Het is tevens de negende malware die zich richt op ICS, na Stuxnet, Havex, Industroyer (ook bekend als CrashOverride), Triton (ook bekend als Trisis), BlackEnergy2, Industroyer2 en COSMICENERGY.

Volgens Dragos heeft het vermogen van de malware om gegevens op ICS-apparaten met Modbus te lezen of te wijzigen ernstige gevolgen voor industriële activiteiten en de openbare veiligheid. Meer dan 46.000 ICS-apparaten die kwetsbaar zijn voor internet, communiceren via het veelgebruikte protocol.

“De specifieke targeting van ICS met behulp van Modbus TCP via poort 502 en de mogelijkheid om rechtstreeks te communiceren met verschillende ICS-apparaten vormen een ernstige bedreiging voor kritieke infrastructuur in meerdere sectoren”, aldus de onderzoekers.

“Organisaties moeten prioriteit geven aan de implementatie van uitgebreide cyberbeveiligingskaders om kritieke infrastructuur te beschermen tegen soortgelijke bedreigingen in de toekomst.”

Thijs Van der Does