FrostyGoop Malware ist eine neue Bedrohung für industrielle Kontrollsysteme (ICS) und gefährdet OT-Systeme. FrostyGoop malware is a new threat to industrial control systems (ICS) that compromises OT systems.
FrostyGoop ist eine ICS-spezifische Malware (Industrial Control Systems) und die erste ICS-Malware, die Modbus-TCP-Kommunikation verwendet, um OT-Systeme (Operations Technology) anzugreifen. Dragos entdeckte FrostyGoop im April 2024.

FrostyGoop kann direkt mit ICS über Modbus interagieren, ein Standard-ICS-Protokoll, das weltweit in allen Branchen und Organisationen verwendet wird. Darüber hinaus teilte das Cyber Security Situation Center (CSSC), Teil des ukrainischen Sicherheitsdienstes (Служба безпеки України), mit Dragos Details über einen Cyberangriff auf ein Fernwärmeunternehmen in Lviv (Ukraine), der zu einem zweitägigen Heizungsausfall für die Kunden führte.

Dragos vermutet, dass FrostyGoop bei diesem Angriff verwendet wurde. Eine zugehörige FrostyGoop-Konfigurationsdatei enthielt die IP-Adresse eines ENCO-Controllers, so dass Dragos mit mittlerer Sicherheit davon ausgehen kann, dass FrostyGoop verwendet wurde, um ENCO-Controller mit dem zum Internet offenen TCP-Port 502 anzugreifen.

Angesichts der weiten Verbreitung von Modbus-Geräten auf der ganzen Welt unterstreicht die breite Anwendbarkeit dieser Bedrohung die dringende Notwendigkeit, ICS-Netzwerke transparent zu machen und den Modbus-Verkehr zu überwachen.

Die Erkennung und Markierung von Abweichungen vom normalen Verhalten sowie die Identifizierung von Angriffsmustern und Verhaltensweisen, die das Modbus-Protokoll ausnutzen, sind von entscheidender Bedeutung. Dies erfordert die Entwicklung von Erkennungsmethoden, die auf den neuesten Erkenntnissen über Schwachstellen, Angriffsvektoren und Malware basieren, die auf Modbus-Systeme abzielen.

Die Fähigkeit von FrostyGoop, über Modbus-TCP über den standardisierten Port 502 zu kommunizieren, der in vielen industriellen Systemen verwendet wird, ist eine Besonderheit und macht es besonders gefährlich. FrostyGoop kann auch die sogenannten „Holding Registers“ lesen und schreiben. Die Holding Registers enthalten wichtige Eingangs-, Ausgangs- und Konfigurationsdaten.

Die Malware wurde in der Programmiersprache Golang geschrieben und für Windows-Systeme kompiliert. Bei der Entdeckung wurde festgestellt, dass keines der gängigen Antivirenprogramme die Malware als schädlich identifizieren konnte, was die Erkennung und Bekämpfung durch herkömmliche IT-Cybersicherheitsprogramme erheblich erschwert.

Angriff auf Infrastruktur in Lemberg

Die Möglichkeiten von FrostyGoop zeigten sich im Januar 2024 in Lviv (früher Lemberg) in der Ukraine, als ein Cyberangriff ein städtisches Energieunternehmen lahmlegte. Der Angriff mitten im Winter führte dazu, dass die Heizsysteme von mehr als 600 Wohngebäuden ausfielen und die Bewohner der Kälte ausgesetzt waren. Der Angriff dauerte fast zwei Tage, bevor er vollständig behoben werden konnte.

Die Untersuchung ergab, dass sich die Angreifer vermutlich über eine Sicherheitslücke in einem öffentlich zugänglichen Mikrotik-Router Zugang zum Netzwerk der Opfer verschafft hatten. Nachdem sie in das Netzwerk eingedrungen waren, nutzten sie eine Web-Shell, um einen Tunnel aufzubauen und die Kontrolle über die Systemserver und die Heizungssteuerungen zu übernehmen. Die Angreifer manipulierten die ENCO-Controller, indem sie deren Firmware auf eine ältere Version herunterstuften, was zu fehlerhaften Messungen und einer Fehlfunktion des Heizsystems führte.

Weitere Auswirkungen und Empfehlungen

FrostyGoop hat weitreichende Auswirkungen auf die Cybersicherheit im OT-Bereich. Da das Modbus-Protokoll in vielen industriellen Umgebungen verwendet wird, könnten ähnliche Angriffe potenziell alle Industriesektoren betreffen. Daher ist es wichtig, Maßnahmen dagegen zu ergreifen. Die Netzwerktransparenz in ICS-Umgebungen muss erhöht werden, um Anomalien im Modbus-Datenverkehr zu erkennen und zu melden.

FrostyGoop is an Industrial Control Systems (ICS) specific malware and the first ICS malware to use Modbus TCP communications to attack Operations Technology (OT) systems. FrostyGoop was discovered by Dragos in April 2024.

FrostyGoop can interact directly with ICS via Modbus, a standard ICS protocol used across industries and organizations worldwide. In addition, the Cyber Security Situation Center (CSSC), part of the Ukrainian Security Service (Служба безпеки України), provided Dragos with details of a cyberattack on a district heating company in Lviv, Ukraine, that resulted in a two-day heating outage for customers.

Dragos suspects that FrostyGoop was used in the attack. An associated FrostyGoop configuration file contained the IP address of an ENCO controller, so Dragos can assume with moderate confidence that FrostyGoop was used to attack ENCO controllers with TCP port 502 open to the Internet.

Given the widespread use of Modbus devices worldwide, the broad applicability of this threat underscores the urgent need to make ICS networks transparent and to monitor Modbus traffic.

Detecting and flagging deviations from normal behavior and identifying attack patterns and behaviors that exploit the Modbus protocol is critical. This requires the development of detection methods based on the latest knowledge of vulnerabilities, attack vectors and malware targeting Modbus systems.

FrostyGoop’s ability to communicate via Modbus TCP over the standardized port 502, which is used in many industrial systems, is unique and makes it particularly dangerous. FrostyGoop can also read and write the so called „Holding Registers“. The holding registers contain important input, output and configuration data.

The malware was written in the Golang programming language and compiled for Windows systems. Upon discovery, it was found that none of the popular antivirus programs were able to identify the malware as malicious, making it much more difficult for traditional IT cybersecurity programs to detect and combat.

Attack on Lviv infrastructure

FrostyGoop’s capabilities were demonstrated in January 2024 in Lviv (formerly Lvov), Ukraine, when a cyberattack crippled a municipal energy company. The attack in the dead of winter caused the heating systems of more than 600 residential buildings to fail, leaving residents in the cold. The attack lasted nearly two days before it was fully repaired.

The investigation revealed that the attackers likely gained access to the victims‘ network through a vulnerability in a publicly available micro-router. Once inside the network, they used a web shell to tunnel and take control of the system servers and heating controls. The attackers manipulated the ENCO controllers by downgrading their firmware to an older version, resulting in incorrect readings and a malfunctioning heating system.

Additional Implications and Recommendations

FrostyGoop has far-reaching implications for OT cybersecurity. As the Modbus protocol is used in many industrial environments, similar attacks could potentially affect all industrial sectors. Therefore, it is important to take action against them. Network visibility in ICS environments must be increased to detect and report anomalies in Modbus traffic.

Arne Lehfeldt, Systems Engineer und CTO Ambassador bei Dell Technologies, erklärt im Podcast Security, Storage und Channel Germany mit Carolina Heyder, warum Unternehmen keine Angst vor KI haben sollten. Arne Lehfeldt, Systems Engineer and CTO Ambassador at Dell Technologies, explains why companies shouldn’t be afraid of AI in the Security, Storage and Channel Germany podcast with Carolina Heyder.

Von Jakob Jung

Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM. Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM. Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

WordPress Cookie Hinweis von Real Cookie Banner