Des chercheurs en cybersécurité ont découvert ce qu’ils disent être le neuvième malware axé sur les systèmes de contrôle industriel (ICS) qui a été utilisé dans une cyberattaque perturbatrice ciblant une entreprise énergétique dans la ville ukrainienne de Lviv plus tôt en janvier.
La société de cybersécurité industrielle Dragos a surnommé le malware FrostyGoople décrivant comme la première souche de malware à utiliser directement Modbus Communications TCP pour saboter les réseaux de technologie opérationnelle (OT). Elle a été découverte par l’entreprise en avril 2024.
« FrostyGoop est un malware spécifique aux systèmes de contrôle industriel (ICS) écrit en Golang qui peut interagir directement avec les systèmes de contrôle industriel (ICS) à l’aide de Modbus TCP sur le port 502 », ont déclaré les chercheurs Kyle O’Meara, Magpie (Mark) Graham et Carolyn Ahlers. dit dans un rapport technique partagé avec The Hacker News.
On pense que le malware, principalement conçu pour cibler les systèmes Windows, a été utilisé pour cibler les contrôleurs ENCO dont le port TCP 502 est exposé à Internet. Il n’a été lié à aucun acteur de menace ou groupe d’activités précédemment identifié.
FrostyGoop est doté de fonctionnalités de lecture et d’écriture sur un périphérique ICS contenant des registres contenant des entrées, des sorties et des données de configuration. Il accepte également des arguments d’exécution de ligne de commande facultatifs, utilise des fichiers de configuration au format JSON pour spécifier les adresses IP cibles et les commandes Modbus, et enregistre la sortie sur une console et/ou un fichier JSON.
L’incident visant la compagnie municipale d’énergie du district aurait entraîné une perte de services de chauffage dans plus de 600 immeubles d’habitation pendant près de 48 heures.
« Les adversaires ont envoyé des commandes Modbus aux contrôleurs ENCO, provoquant des mesures inexactes et des dysfonctionnements du système », ont déclaré les chercheurs lors d’une conférence téléphonique, notant que l’accès initial avait probablement été obtenu en exploitant une vulnérabilité dans les routeurs Mikrotik en avril 2023.
« Les adversaires ont envoyé des commandes Modbus aux contrôleurs ENCO, provoquant des mesures inexactes et des dysfonctionnements du système. La réparation a pris près de deux jours. »
Bien que FrostyGoop utilise largement le protocole Modbus pour les communications client/serveur, il est loin d’être le seul. En 2022, Dragos et Mandiant ont détaillé un autre malware ICS nommé PIPEDREAM (alias INCONTROLLER) qui exploitait divers protocoles de réseau industriel tels que OPC UA, Modbus et CODESYS pour l’interaction.
Il s’agit également du neuvième malware axé sur les ICS après Stuxnet, Havex, Industroyer (alias CrashOverride), Triton (alias Trisis), BlackEnergy2, Industroyer2 et COSMICENERGY.
La capacité du logiciel malveillant à lire ou à modifier les données sur les appareils ICS à l’aide de Modbus a de graves conséquences sur les opérations industrielles et la sécurité publique, a déclaré Dragos, ajoutant que plus de 46 000 appareils ICS exposés à Internet communiquent via le protocole largement utilisé.
« Le ciblage spécifique des ICS utilisant Modbus TCP sur le port 502 et la possibilité d’interagir directement avec divers appareils ICS constituent une menace sérieuse pour les infrastructures critiques dans de nombreux secteurs », ont déclaré les chercheurs.
« Les organisations doivent donner la priorité à la mise en œuvre de cadres de cybersécurité complets pour protéger les infrastructures critiques contre des menaces similaires à l’avenir. »