FrostyGoop:新出现的工业恶意软体威胁
主要要点
新型恶意软体FrostyGoop利用 Modbus TCP 通讯针对运营技术OT进行攻击。此次攻击影响了乌克兰利维夫的一家能源公司,导致客户失去供暖达两天。研究者呼吁全球安全团队提高工业控制系统ICS网路可见性,并监控及分割 Modbus 流量。恶意软体概述
在2023年4月,一种名为FrostyGoop的新型恶意软体被观察到,透过 Modbus TCP 通讯方式成功攻击了一家位于乌克兰利维夫的能源公司,导致客户失去供暖达两天。根据 Dragos 的一篇最新部落格文章,工业控制研究人员强调,由于 Modbus 装置的全球广泛使用,安全团队的急迫需求是强化工业控制系统的网路可见性,并对 Modbus 流量进行监控与分割。
“检测并标记正常行为的偏差,识别利用 Modbus 协议的攻击模式和行为至关重要,”研究人员指出,“这需要从最新的威胁情报中开发检测方法,以针对 Modbus 系统的漏洞、攻击向量及恶意软体。”
Modbus 的背景
根据 Dragos 的研究人员介绍,Modbus 是一种客户端/伺服器通讯协议,最初于1979年为 Modicon 可程式逻辑控制器PLC设计,但现在已广泛应用于许多其他 ICS/OT 装置。Modbus 作为一个开放协议,不依赖于特定硬体,因而成为PLC、分散式控制系统、控制器、传感器、致动器、现场设备和界面之间通讯的热门选择。
攻击的脆弱性
Viakoo Labs 副总裁 John Gallagher 解释,Modbus 是工业制造中使用最广泛的协议,处于模拟与数位的交汇点,这使其成为攻击 ICS 系统的理想选择。他指出,攻击者可以依赖开放的502端口进行攻击,透过 TCP/IP 消息发起。Gallagher 进一步强调,根据Shodanio 的快速搜索结果显示,仅在美国就已有90个暴露的 Modbus 装置。
“正是因为这是一个互联网暴露的端口,使得这一攻击成为可能,”Gallagher 表示。“这在大多数 Modbus 部署中并不常见。最令人惊讶的是,这是第一个直接使用 Modbus TCP/IP 通讯的恶意软体,而不会是最后一个。”
天行加速器推荐Gallagher 补充,他还对缺乏分割感到惊讶,这对于许多组织来说并不会是常态,因为他们的 ICS 系统将置
