شرکت امنیت سایبری صنعتی Dragos، یک بدافزار متمرکز بر سیستمهای کنترل صنعتی (ICS) موسوم به FrostyGoop را در آوریل 2024 کشف و آن را اولین نوع بدافزاری توصیف کرد که مستقیماً از ارتباطات Modbus TCP به منظور تخریب شبکههای فناوری عملیاتی (OT) استفاده میکند.
FrostyGoop که نهمین بدافزار متمرکز بر ICS است (پس از Stuxnet، Havex، Industroyer معروف به CrashOverride و Tritonمعروف به Trisis و BlackEnergy2، Industroyer2 و COSMICENERGY کشف شده ) در Golang نوشته شده و میتواند مستقیماً با سیستمهای کنترل صنعتی با استفاده از Modbus TCP از طریق پورت 502 تعامل داشته باشد. این بدافزار که عمدتاً جهت هدف قرار دادن سیستمهای ویندوز طراحی شده، توسط نفوذگر یا گروهی ناشناسی برای هدف قرار دادن کنترلکنندههای ENCO با پورت TCP 502 در معرض اینترنت استفاده شده است.
FrostyGoop دارای قابلیت خواندن و نوشتن در دستگاه ICS است که شامل رجیسترهای حاوی ورودی، خروجی و دادههای پیکربندی است. همچنین آرگومانهای اجرای خط فرمان اختیاری را میپذیرد، از فایلهای پیکربندی با فرمت JSON برای تعیین آدرسهای IP هدف و فرمانهای Modbus استفاده میکند و خروجی را در کنسول و یا فایل JSON ثبت میکند.
Dragos گفت: توانایی این بدافزار برای خواندن یا تغییر دادههای دستگاههای ICS با استفاده از Modbus عواقب شدیدی برای عملیات صنعتی و ایمنی عمومی دارد و بیش از 46000 دستگاه ICS متصل به اینترنت از طریق پروتکل پرکاربرد ارتباط برقرار میکنند. هدفگیری خاص ICS با استفاده از Modbus TCP بر روی پورت 502 و پتانسیل تعامل مستقیم با دستگاههای مختلف ICS، تهدیدی جدی برای زیرساختهای حیاتی در بخشهای مختلف محسوب میشود.
https://thehackernews.com/2024/07/new-ics-malware-frostygoop-targeting.html
