FrostyGoop je prvý známy ICS malvér, ktorý úspešne zneužíva ModbusTCP na manipuláciu s riadiacimi systémami a dosiahol reálny dopad.
V neustále sa vyvíjajúcom svete kybernetických hrozieb sa objavil nový malvér zameraný na priemyselné riadiace systémy (ICS) s názvom FrostyGoop, ktorý predstavuje významné riziko pre kritickú infraštruktúru. FrostyGoop je špeciálne navrhnutý na útoky proti systémom, ktoré využívajú komunikáciu cez ModbusTCP – bežný priemyselný protokol. To robí z útoku pomocou FrostyGoop vážnu hrozbu pre ICS sektory po celom svete, ako je energetika, vodárenstvo a kanalizácia, výroba, doprava, ropa a plyn a ďalšie kritické oblasti.
Historicky útoky na ICS, ako napríklad PIPEDREAM v roku 2022, používali priemyselný protokol ModbusTCP na zisťovanie a zber informácií. Rovnako kampaň VPNFilter, ohlásená ukrajinskou bezpečnostnou službou SBU v roku 2018, mala schopnosti využívať Modbus, ale údajne bola zastavená na stanici na výrobu chlóru LLC Aulska v meste Auly, ktorá dodáva vodárenským a kanalizačným závodom na Ukrajine.
FrostyGoop je však prvý známy ICS malvér, ktorý úspešne zneužil ModbusTCP na manipuláciu s riadiacim systémom a dosiahol skutočný vplyv.
Prístup je zraniteľnosť
ModbusTCP je ICS protokol, široko používaný vďaka svojej interoperabilite, širokej podpore a flexibilite, a nachádza sa v mnohých riadiacich sieťach po celom svete. V prostrediach ICS je ModbusTCP bežnou voľbou na procesnú komunikáciu medzi rôznymi zariadeniami, ako sú programovateľné logické automaty (PLC), senzory a akčné členy.
Podobne ako mnoho iných priemyselných protokolov, Modbus je zvyčajne implementovaný bez šifrovania a autentifikácie. Útočníci s prístupom do riadiacej siete môžu túto orientáciu na prevádzku zneužiť – využívajú podporované protokoly na získavanie informácií o procese a posielajú príkazy priamo na riadiace jednotky. Útočníci, ktorí chcú zneužiť podporované priemyselné protokoly, zvyčajne hľadajú prístup do prostredia prostredníctvom dôveryhodného vzdialeného prístupu, zraniteľností na perimetri, útokov na dodávateľský reťazec, komunikačných brán a rozsiahlych kampaní zameraných na organizácie. Získajú prístup a využívajú taktiky tzv. „living off the land“.
Útok pomocou FrostyGoop
Útočníci údajne použili FrostyGoop pri kybernetickom útoku na ukrajinskú mestskú energetickú spoločnosť, čo spôsobilo dvojdňový výpadok vykurovania vo viac než 600 bytových domoch na Ukrajine. Útočníci do napadnutých sietí vpichli neautorizované ModbusTCP príkazy, ktoré cielili na regulátory ENCO používané na riadenie kúrenia. Výsledkom boli poruchy systémov a nepresné merania, čo spôsobilo výpadky kúrenia pre civilné obyvateľstvo počas mrazivých teplôt v januári 2024. Obnova systému trvala približne dva dni.
Vyšetrenie incidentu ukázalo, že útočníci pravdepodobne získali prístup prostredníctvom smerovača vystaveného internetu. Vzhľadom na minimálnu segmentáciu v cieľovom prostredí dokázali získať používateľské prihlasovacie údaje a vytvoriť Layer 2 tunel do siete. Tento vzdialený prístup im umožnil priamo posielať príkazy ICS zariadeniam. Vysielaním Modbus príkazov priamo z prostredia útočníka sa vyhli potrebe umiestniť malvér do napadnutej siete, čím sa minimalizovala možnosť budúceho odhalenia, analýzy a forenzného vyšetrovania. Tento prístup zároveň oslabuje efektivitu detekčných a preventívnych opatrení na hostiteľských zariadeniach.
Malvér FrostyGoop pre ICS
FrostyGoop je kompilovaný binárny súbor pre operačný systém Windows, ktorý v čase odhalenia nebol rozpoznaný ako škodlivý žiadnym antivírusovým softvérom. Tento malvér je navrhnutý na prácu s ICS zariadeniami na platforme Windows, ktoré komunikujú s regulátormi ENCO pomocou ModbusTCP. Využíva port TCP 502 na čítanie a zápis do „holding“ registrov riadiacich zariadení s cieľom ovplyvniť procesy.
Je dôležité poznamenať, že funkcionalita FrostyGoop nie je obmedzená iba na regulátory ENCO – môže byť použitý aj proti iným zariadeniam s podporou ModbusTCP bez ohľadu na sektor. FrostyGoop môže využívať rôzne konfiguračné súbory útokov, čo mu umožňuje zamerať sa na viacero zariadení podľa IP adresy. Dokáže tiež komunikovať s cieľovými zariadeniami v určitých časových intervaloch alebo s oneskorením medzi príkazmi ModbusTCP.
„Roztopiť“ Goop
V útokoch proti mestskej energetickej spoločnosti sa ukázalo, že bežné vstupné vektory do ICS sietí sú zariadenia pripojené na internet. Keďže toto bol spôsob prieniku vo FrostyGoop útoku, je dôležité zdôrazniť význam zabezpečeného vzdialeného prístupu a obranyschopnej architektúry siete ako kľúčovej línie obrany pred takýmto typom útokov. Zároveň bolo uvedené, že v roku 2023 až 40 % kompromitácií ICS/OT prostredí vzniklo práve prostredníctvom IT sietí, ktoré umožnili prienik hrozieb do ICS.
S ohľadom na takýto spôsob útoku je dôležité zvážiť viditeľnosť OT siete ako detekčný mechanizmus spolu s preventívnymi opatreniami na rýchlu identifikáciu a zmiernenie nepriateľskej aktivity. Správa Dragos o FrostyGoop uvádza odporúčané zmierňujúce opatrenia s odkazom na päť kľúčových bezpečnostných kontrol pre ICS. Tu sú ďalšie úvahy týkajúce sa týchto kontrol:
Reakcia na incidenty pre ICS – Naplánujte a otestujte spôsoby, ako nastaviť systém do manuálneho režimu alebo ho prepnúť do režimu blokovania riadenia. Úmyselne integrujte manuálne ovládanie do systému, aby sa zabezpečili prevádzkové potreby a obmedzil vplyv pri zneužití.
Obranná architektúra – Navrhnite sieťovú architektúru a ICS perimeter, ktorý obmedzí priemyselné protokoly iba na potrebné segmenty a zariadenia. Zaveďte kontrolu vstupu a výstupu na stanovených hraniciach siete.
Viditeľnosť siete ICS – Základná detekčná kontrola, ktorá poskytuje potrebný prehľad o zneužívaní protokolov a manipuláciách útočníka v rámci procesu.
Zabezpečený vzdialený prístup – Základné preventívne opatrenie, ktoré sa zameriava na elimináciu priameho prístupu alebo implementáciu viacfaktorovej autentifikácie, ktorá sa aktivuje len v prípade potreby.
Manažment zraniteľností orientovaný na risk – Aj keď konkrétne zraniteľnosti zneužité na smerovači neboli zverejnené, incident zdôrazňuje potrebu dôsledného sledovania a aplikovania aktualizácií. V ICS sieťach však nie je patchovanie vždy možné, preto je potrebné zabezpečiť alternatívne opatrenia vnútri aj mimo OT prostredia.
Výhľad do budúcnosti
FrostyGoop predstavuje ďalší prípad útoku pomocou ICS-malvéru cieleného na kyber-fyzické prostredie. Jeho schopnosť priamo komunikovať so zariadeniami cez rozšírené protokoly ako ModbusTCP zdôrazňuje potrebu zvýšených bezpečnostných opatrení.
Tieto útoky typu „living off the land“ spolu s útokmi na perimeter ICS sietí budú v budúcnosti pravdepodobne častejšie. Tradičné bezpečnostné nástroje pre koncové zariadenia často nedokážu detekovať alebo zmierniť takéto techniky.
Zariadenia kritickej infraštruktúry by mali zvážiť implementáciu piatich kľúčových ICS bezpečnostných kontrol, so zameraním na perimeter obranu. Prioritizáciou týchto kontrol, ako je segmentácia siete a robustný ICS-monitorovací program, môžu organizácie po celom svete lepšie čeliť týmto a podobným hrozbám v budúcnosti.