Ciberseguridad 360 | Nuevo malware FrostyGoop dirigido a infraestructuras críticas

Investigadores de ciberseguridad han descubierto lo que dicen que es el noveno malware centrado en sistemas de control industrial (ICS) que se ha utilizado en un ciberataque perturbador dirigido a una empresa de energ�a en la ciudad ucraniana de Lviv a principios de enero.

La empresa de ciberseguridad industrial Dragos ha bautizado el malware como FrostyGoop, describi�ndolo como la primera cepa de malware que utiliza directamente las comunicaciones Modbus TCP para sabotear redes de tecnolog�a operativa (OT). La empresa lo descubri� en abril de 2024.

"FrostyGoop es un malware espec�fico para ICS escrito en Golang que puede interactuar directamente con sistemas de control industrial (ICS) utilizando Modbus TCP a trav�s del puerto 502", explican los investigadores Kyle O'Meara, Magpie (Mark) Graham y Carolyn Ahlers en un informe t�cnico compartido con The Hacker News.

Se cree que el malware, dise�ado principalmente para atacar sistemas Windows, se ha utilizado para atacar controladores ENCO con el puerto TCP 502 expuesto a Internet. No se ha vinculado a ning�n actor de amenazas o grupo de actividades previamente identificados.

FrostyGoop viene con capacidades para leer y escribir en un dispositivo ICS registros que contienen entradas, salidas y datos de configuraci�n. Tambi�n acepta argumentos opcionales de ejecuci�n de l�nea de comandos, utiliza archivos de configuraci�n con formato JSON para especificar direcciones IP de destino y comandos Modbus, y registra la salida en una consola y/o un archivo JSON.

Al parecer, el incidente dirigido contra la empresa municipal de energ�a urbana provoc� la p�rdida de los servicios de calefacci�n de m�s de 600 edificios de apartamentos durante casi 48 horas.

"Los adversarios enviaron comandos Modbus a los controladores ENCO, causando mediciones inexactas y mal funcionamiento del sistema", dijeron los investigadores en una conferencia telef�nica, se�alando que el acceso inicial probablemente se obtuvo mediante la explotaci�n de una vulnerabilidad desconocida en un router Mikrotik de acceso p�blico en abril de 2023.

"Los adversarios enviaron comandos Modbus a los controladores ENCO, causando mediciones inexactas y mal funcionamiento del sistema. La soluci�n tard� casi dos d�as".

Aunque FrostyGoop emplea ampliamente el protocolo Modbus para las comunicaciones cliente/servidor, no es ni mucho menos el �nico. En abril de 2022, Dragos y Mandiant detallaron otro malware ICS llamado PIPEDREAM (tambi�n conocido como INCONTROLLER) que aprovechaba varios protocolos de redes industriales como OPC UA, Modbus y CODESYS para interactuar.

Tambi�n es el noveno malware centrado en ICS descubierto en la naturaleza despu�s de Stuxnet, Havex, Industroyer (alias CrashOverride), Triton (alias Trisis), BlackEnergy2, Industroyer2, y COSMICENERGY.

La capacidad del malware para leer o modificar datos en dispositivos ICS que utilizan Modbus tiene graves consecuencias para las operaciones industriales y la seguridad p�blica, dijo Dragos, a�adiendo que m�s de 46.000 dispositivos ICS expuestos a Internet se comunican a trav�s del protocolo ampliamente utilizado.

"El objetivo espec�fico de los ICS que utilizan Modbus TCP a trav�s del puerto 502 y el potencial para interactuar directamente con varios dispositivos ICS plantean una grave amenaza para las infraestructuras cr�ticas en m�ltiples sectores", dijeron los investigadores.

"Las organizaciones deben priorizar la implementaci�n de marcos integrales de ciberseguridad para salvaguardar las infraestructuras cr�ticas de amenazas similares en el futuro".

Fuente: thehackernews