![新型 ICS 恶意软件FrostyGoop影响全球 OT 系统]( "新型 ICS 恶意软件“FrostyGoop”影响全球 OT 系统")
2024 年 1 月,俄罗斯发动网络攻击,在零度以下的气温条件下,导致乌克兰利沃夫 600 多栋公寓楼的供暖中断两天。
此次攻击中使用的 Windows 恶意软件 FrostyGoop 旨在针对使用 Modbus TCP 通信(所有工业领域的标准 ICS 协议)的工业控制系统 (ICS)。
2024 年 4 月,网络安全公司 Dragos 首次发现了该恶意软件,该公司的研究人员最初认为该恶意软件仍在测试中。然而,乌克兰网络安全状况中心 (CSSC) 分享了有关该恶意软件被用于攻击的详细信息,并将其与 1 月份利沃夫供暖中断事件联系起来。
根据 CSSC 分享的信息,Dragos表示:“2024 年 1 月 22 日深夜至 1 月 23 日,攻击者对乌克兰利沃夫的一个市政区域能源公司进行了破坏性攻击。”
攻击发生时,该设施为利沃夫大都市区 600 多栋公寓楼供热,为用户提供集中供暖。事故的补救工作耗时近两天,在此期间,平民不得不忍受零度以下的气温。”
FrostyGoop 是第九种在野发现的 ICS 恶意软件,其中许多与俄罗斯威胁组织和攻击基础设施有关。最近,Mandiant 发现了CosmicEnergy,而 ESET 发现Sandworm 黑客利用Industroyer2针对一家大型乌克兰能源供应商发动了一次失败的攻击。
对 2024 年 1 月利沃夫网络攻击的调查显示,攻击者可能在近一年前,即 2023 年 4 月 17 日,通过利用互联网暴露的 Mikrotik 路由器中未识别的漏洞进入了受害者的网络。
三天后,他们部署了一个 Webshell,使他们能够保持访问权限,并帮助他们在 11 月和 12 月连接到被攻破的网络,从安全帐户管理器 (SAM) 注册表配置单元中窃取用户凭据。
攻击当天,攻击者使用来自莫斯科 IP 地址的 L2TP(第二层隧道协议)连接访问区域能源公司的网络资产。
由于网络(包括受感染的 MikroTik 路由器、四台管理服务器以及区域供热系统控制器)未正确分段,因此他们可以利用硬编码的网络路由并控制该区域的供热系统控制器。
劫持它们之后,攻击者将固件降级为缺乏监控功能的版本以逃避检测。
Dragos 警告说:“鉴于 Modbus 协议在工业环境中的普遍性,这种恶意软件可能会通过与传统和现代系统交互,导致所有工业部门中断。”
该公司建议工业组织实施 SANS 5 关键控制,以实现世界级 OT 网络安全,包括“ICS 事件响应、可防御架构、ICS 网络可见性和监控、安全远程访问以及基于风险的漏洞管理”。
信息来源:BleepingComputer
原文始发于微信公众号(犀牛安全):新型 ICS 恶意软件“FrostyGoop”影响全球 OT 系统
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/3003907.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论