کشف بدافزار خطرناک FrostyGoop با هدف قرار دادن سیستم‌های کنترل صنعتی

کشف بدافزار خطرناک FrostyGoop با هدف قرار دادن سیستم‌های کنترل صنعتی

تاریخ ایجاد

پژوهشگران امنیت سایبری از کشف نوع جدیدی از بدافزار که به حملات سایبری بر روی سیستم‌های کنترل صنعتی (ICS) متمرکز است، خبر دادند. این بدافزار که به نام "FrostyGoop" شناخته می‌شود، برای نخستین بار به طور مستقیم از پروتکل Modbus TCP برای خرابکاری در شبکه‌های تکنولوژی عملیاتی (OT) استفاده می‌کند و به طور خاص برای هدف قرار دادن سیستم‌های کنترل ENCO که از پروتکل Modbus TCP استفاده می‌کنند طراحی شده ‌است.
Modbus یک پروتکل ارتباطی است که برای انتقال اطلاعات بین دستگاه‌های الکترونیکی استفاده می‌شود. این پروتکل در اصل برای استفاده در سیستم‌های کنترل صنعتی طراحی شده و از آن برای ارتباط بین دستگاه‌هایی مانند کنترلرهای منطقی قابل برنامه‌ریزی (PLC) و حسگرها یا محرک‌ها استفاده می‌شود. Modbus از ساختار کلاینت-سرور استفاده می‌کند. این پروتکل معمولاً از طریق پورت 502 TCP/IP پیاده‌سازی می‌شود.
FrostyGoop، که با زبان برنامه‌نویسی Golang نوشته شده، قادر است مستقیماً با دستگاه‌های ICS از طریق پروتکل Modbus TCP بر روی پورت 502 ارتباط برقرار کند. این بدافزار به طور عمده سیستم‌های ویندوزی را هدف قرار می‌دهد و برای آسیب رساندن به دستگاه‌های کنترل ENCO که پورت TCP 502 آن‌ها به اینترنت متصل است، استفاده می‌شود. سیستم‌های کنترل ENCO (Energy Control System) در واقع نوعی سیستم کنترل صنعتی هستند که برای مدیریت و نظارت بر تجهیزات و فرآیندهای انرژی استفاده می‌شوند. این سیستم‌ها معمولاً در تأسیسات انرژی مانند نیروگاه‌ها، شبکه‌های توزیع برق و تأسیسات گرمایشی به کار می‌روند. سیستم‌های ENCO می‌توانند شامل سخت‌افزار و نرم‌افزارهایی باشند که برای جمع‌آوری داده‌ها، مانیتورینگ و کنترل تجهیزات انرژی استفاده می‌شوند. این سیستم‌ها اغلب از پروتکل‌های ارتباطی استاندارد مانند Modbus برای ارتباط با دستگاه‌های مختلف استفاده می‌کنند. این بدافزار قابلیت خواندن و نوشتن داده‌ها به دستگاه‌های ICS را دارد و همچنین می‌تواند دستورات از طریق فایل‌های پیکربندی JSON دریافت کند و خروجی‌ها را به کنسول و یا فایل JSON گزارش دهد.
حمله‌ای که اخیرا رخ داد و در آن از FrostyGoop استفاده شده‌‌ بود، به یک شرکت انرژی صورت گرفت و منجر به قطع خدمات گرمایشی در بیش از 600 ساختمان مسکونی به مدت نزدیک به 48 ساعت شد. محققان معتقدند که دسترسی اولیه به شبکه‌های آسیب‌دیده از طریق آسیب‌پذیری‌هایی در روترهای Mikrotik به دست آمده است.
FrostyGoop یکی از نه نوع بدافزار ICS است که تاکنون شناسایی شده است. این بدافزارها شامل Stuxnet، Havex، Industroyer، Triton، BlackEnergy2، Industroyer2 و COSMICENERGY هستند. FrostyGoop به طور خاص از پروتکل Modbus TCP برای برهم زدن عملکرد دستگاه‌های ICS استفاده می‌کند و تهدیدی جدی برای زیرساخت‌های حیاتی در بخش‌های مختلف به شمار می‌آید.
با توجه به این که بیش از 46,000 دستگاه ICS به صورت اینترنتی با استفاده از پروتکل Modbus ارتباط دارند، وجود چنین بدافزارهایی می‌تواند پیامدهای خطرناکی برای عملیات صنعتی و ایمنی عمومی داشته باشد. پژوهشگران توصیه می‌کنند که سازمان‌ها امنیت زیرساخت‌های خود را با پیاده‌سازی تدابیر جامع حفاظتی تقویت کنند تا از تهدیدات مشابه جلوگیری کنند.

توصیه‌های امنیتی
برای پیشگیری و کاهش خطر بدافزار FrostyGoop، می‌توان اقدامات زیر را انجام داد:

  • به‌روزرسانی سیستم‌ها و تجهیزات
  • مانیتورینگ شبکه و شناسایی هرگونه فعالیت مشکوک
  • پیکربندی درست تجهیزات و حصول اطمینان از اینکه پورت‌های ناامن مانند پورت 502 برای Modbus به درستی پیکربندی شده و در معرض اینترنت نیستند.
  • آموزش پرسنل
  • استفاده از فایروال‌ها و سیستم‌های تشخیص نفوذ (IDS/IPS) برای محافظت از شبکه
  • پشتیبان‌گیری منظم از داده‌ها و سیستم‌ها
  • اجرای سیاست‌های دسترسی محدود به سیستم‌های حیاتی

منبع خبر:


https://thehackernews.com/2024/07/new-ics-malware-frostygoop-targeting.html?m=1