پژوهشگران امنیت سایبری از کشف نوع جدیدی از بدافزار که به حملات سایبری بر روی سیستمهای کنترل صنعتی (ICS) متمرکز است، خبر دادند. این بدافزار که به نام "FrostyGoop" شناخته میشود، برای نخستین بار به طور مستقیم از پروتکل Modbus TCP برای خرابکاری در شبکههای تکنولوژی عملیاتی (OT) استفاده میکند و به طور خاص برای هدف قرار دادن سیستمهای کنترل ENCO که از پروتکل Modbus TCP استفاده میکنند طراحی شده است.
Modbus یک پروتکل ارتباطی است که برای انتقال اطلاعات بین دستگاههای الکترونیکی استفاده میشود. این پروتکل در اصل برای استفاده در سیستمهای کنترل صنعتی طراحی شده و از آن برای ارتباط بین دستگاههایی مانند کنترلرهای منطقی قابل برنامهریزی (PLC) و حسگرها یا محرکها استفاده میشود. Modbus از ساختار کلاینت-سرور استفاده میکند. این پروتکل معمولاً از طریق پورت 502 TCP/IP پیادهسازی میشود.
FrostyGoop، که با زبان برنامهنویسی Golang نوشته شده، قادر است مستقیماً با دستگاههای ICS از طریق پروتکل Modbus TCP بر روی پورت 502 ارتباط برقرار کند. این بدافزار به طور عمده سیستمهای ویندوزی را هدف قرار میدهد و برای آسیب رساندن به دستگاههای کنترل ENCO که پورت TCP 502 آنها به اینترنت متصل است، استفاده میشود. سیستمهای کنترل ENCO (Energy Control System) در واقع نوعی سیستم کنترل صنعتی هستند که برای مدیریت و نظارت بر تجهیزات و فرآیندهای انرژی استفاده میشوند. این سیستمها معمولاً در تأسیسات انرژی مانند نیروگاهها، شبکههای توزیع برق و تأسیسات گرمایشی به کار میروند. سیستمهای ENCO میتوانند شامل سختافزار و نرمافزارهایی باشند که برای جمعآوری دادهها، مانیتورینگ و کنترل تجهیزات انرژی استفاده میشوند. این سیستمها اغلب از پروتکلهای ارتباطی استاندارد مانند Modbus برای ارتباط با دستگاههای مختلف استفاده میکنند. این بدافزار قابلیت خواندن و نوشتن دادهها به دستگاههای ICS را دارد و همچنین میتواند دستورات از طریق فایلهای پیکربندی JSON دریافت کند و خروجیها را به کنسول و یا فایل JSON گزارش دهد.
حملهای که اخیرا رخ داد و در آن از FrostyGoop استفاده شده بود، به یک شرکت انرژی صورت گرفت و منجر به قطع خدمات گرمایشی در بیش از 600 ساختمان مسکونی به مدت نزدیک به 48 ساعت شد. محققان معتقدند که دسترسی اولیه به شبکههای آسیبدیده از طریق آسیبپذیریهایی در روترهای Mikrotik به دست آمده است.
FrostyGoop یکی از نه نوع بدافزار ICS است که تاکنون شناسایی شده است. این بدافزارها شامل Stuxnet، Havex، Industroyer، Triton، BlackEnergy2، Industroyer2 و COSMICENERGY هستند. FrostyGoop به طور خاص از پروتکل Modbus TCP برای برهم زدن عملکرد دستگاههای ICS استفاده میکند و تهدیدی جدی برای زیرساختهای حیاتی در بخشهای مختلف به شمار میآید.
با توجه به این که بیش از 46,000 دستگاه ICS به صورت اینترنتی با استفاده از پروتکل Modbus ارتباط دارند، وجود چنین بدافزارهایی میتواند پیامدهای خطرناکی برای عملیات صنعتی و ایمنی عمومی داشته باشد. پژوهشگران توصیه میکنند که سازمانها امنیت زیرساختهای خود را با پیادهسازی تدابیر جامع حفاظتی تقویت کنند تا از تهدیدات مشابه جلوگیری کنند.
توصیههای امنیتی
برای پیشگیری و کاهش خطر بدافزار FrostyGoop، میتوان اقدامات زیر را انجام داد:
- بهروزرسانی سیستمها و تجهیزات
- مانیتورینگ شبکه و شناسایی هرگونه فعالیت مشکوک
- پیکربندی درست تجهیزات و حصول اطمینان از اینکه پورتهای ناامن مانند پورت 502 برای Modbus به درستی پیکربندی شده و در معرض اینترنت نیستند.
- آموزش پرسنل
- استفاده از فایروالها و سیستمهای تشخیص نفوذ (IDS/IPS) برای محافظت از شبکه
- پشتیبانگیری منظم از دادهها و سیستمها
- اجرای سیاستهای دسترسی محدود به سیستمهای حیاتی
منبع خبر:
https://thehackernews.com/2024/07/new-ics-malware-frostygoop-targeting.html?m=1
- 133