Los investigadores de ciberseguridad han descubierto lo que dicen es el noveno malware centrado en los sistemas de control industrial (ICS) que se ha utilizado en un ciberataque disruptivo dirigido contra una empresa energética en la ciudad ucraniana de Lviv a principios de enero.
La empresa de ciberseguridad industrial Dragos ha bautizado el malware Goop heladodescribiéndolo como la primera cepa de malware que utiliza directamente Modbus Comunicaciones TCP para sabotear redes de tecnología operativa (OT). La empresa lo descubrió en abril de 2024.
«FrostyGoop es un malware específico de ICS escrito en Golang que puede interactuar directamente con los sistemas de control industrial (ICS) utilizando Modbus TCP a través del puerto 502», dijeron los investigadores Kyle O’Meara, Magpie (Mark) Graham y Carolyn Ahlers. dicho en un informe técnico compartido con The Hacker News.
Se cree que el malware, diseñado principalmente para atacar sistemas Windows, se ha utilizado para atacar controladores ENCO con el puerto TCP 502 expuesto a Internet. No se ha vinculado a ningún actor de amenazas o grupo de actividades previamente identificado.
FrostyGoop incluye capacidades para leer y escribir en un dispositivo ICS que contiene registros que contienen entradas, salidas y datos de configuración. También acepta argumentos de ejecución de línea de comandos opcionales, utiliza archivos de configuración con formato JSON para especificar direcciones IP de destino y comandos Modbus, y registra la salida en una consola o en un archivo JSON.
Se dice que el incidente contra la empresa energética del distrito municipal provocó la pérdida del servicio de calefacción en más de 600 edificios de apartamentos durante casi 48 horas.
«Los adversarios enviaron comandos Modbus a los controladores ENCO, lo que provocó mediciones inexactas y fallas del sistema», dijeron los investigadores en una conferencia telefónica, y señalaron que el acceso inicial probablemente se obtuvo explotando una vulnerabilidad en los enrutadores Mikrotik en abril de 2023.
«Los adversarios enviaron comandos Modbus a los controladores ENCO, lo que provocó mediciones inexactas y fallas del sistema. La solución tardó casi dos días».
Si bien FrostyGoop utiliza ampliamente el protocolo Modbus para las comunicaciones entre cliente y servidor, no es el único. En 2022, Dragos y Mandiant detallaron otro malware para ICS llamado PIPEDREAM (también conocido como INCONTROLLER) que aprovechaba varios protocolos de red industrial como OPC UA, Modbus y CODESYS para la interacción.
También es el noveno malware centrado en ICS después de Stuxnet, Havex, Industroyer (también conocido como CrashOverride), Triton (también conocido como Trisis), BlackEnergy2, Industroyer2 y COSMICENERGY.
La capacidad del malware de leer o modificar datos en dispositivos ICS usando Modbus tiene graves consecuencias para las operaciones industriales y la seguridad pública, dijo Dragos, y agregó que más de 46.000 dispositivos ICS expuestos a Internet se comunican a través del protocolo ampliamente utilizado.
«El ataque específico a ICS mediante Modbus TCP a través del puerto 502 y el potencial de interactuar directamente con varios dispositivos ICS plantean una amenaza grave a la infraestructura crítica en múltiples sectores», dijeron los investigadores.
«Las organizaciones deben priorizar la implementación de marcos integrales de ciberseguridad para proteger la infraestructura crítica de amenazas similares en el futuro».