В июле 2024 года было обнаружено вредоносное ПО FrostyGoop/BUSTLEBERM, которое нацелено на операционные технологии (OT) и было использовано для атак на критическую инфраструктуру.
FrostyGoop Malware
Отчет о атаке на энергетическую компанию в Украине раскрыл детали этого вредоносного программного обеспечения. FrostyGoop является девятой известной вредоносной программой, нацеленной на OT, но первой, использующей протокол Modbus TCP для воздействия на электроснабжение и отопление многоквартирных домов. Программа может быть использована как внутри компрометированного периметра, так и снаружи при доступе к целевым устройствам через Интернет. FrostyGoop отправляет команды Modbus для чтения или изменения данных на устройствах систем управления промышленными системами (ICS), нанося ущерб среде, в которой она работает.
Дальнейший анализ программы выявил новые образцы FrostyGoop и связанные с ними индикаторы, включая конфигурационные файлы и библиотеки, используемые вредоносным ПО, а также артефакты, связанные с заражением. Были проведены исследования сетевых коммуникаций на основе данных разведки с открытым исходным кодом (OSINT) и собственной телеметрии. Программы OT вызывают все большую озабоченность в области кибербезопасности, и FrostyGoop является примером возрастающей угрозы.
Атака, связанная с FrostyGoop, нацелена на украинскую критическую инфраструктуру и была проведена с использованием российских акторов. Злоумышленники использовали уязвимость в маршрутизаторе MikroTik для первоначальной компрометации, но не подтверждено, что они могли доставить вредоносное ПО через устройства OT, подключенные к Интернету. Операционная система FrostyGoop позволяет злоумышленникам взаимодействовать с устройствами ICS/OT через протокол Modbus TCP. Программа может атаковать любые устройства, использующие этот протокол.
FrostyGoop скомпилирован с использованием языка программирования Go (Golang) и использует малоизвестную реализацию Modbus с открытым исходным кодом. Библиотека Modbus не поддерживает передачу аргументов с помощью JSON-файла, что делает ее сильным идентификатором FrostyGoop. Программа также содержит возможности для протоколирования вывода на консоль или в JSON-файл. Фреймворк FrostyGoop может принимать два типа параметров для выполнения операций над регистрами Modbus-устройств и для временных конфигураций.
Indicators of Compromise
SHA256
- 06919e6651820eb7f783cea8f5bc78184f3d437bc9c6cde9bfbe1e38e5c73160
- 2fd9cb69ef30c0d00a61851b2d96350a9be68c7f1f25a31f896082cfbf39559a
- 5d2e4fd08f81e3b2eb2f3eaae16eb32ae02e760afc36fa17f4649322f6da53fb
- 91062ed8cc5d92a3235936fb93c1e9181b901ce6fb9d4100cc01167cdc08745f
- 9cf30d82a86a9485f7bbd0786a5de207cf4902691a3efcfc966248cb1e87d5b7
- a25f91b6133cb4eb3ecb3e0598bbab16b80baa40059e623e387a6b1082d6f575
- a63ba88ad869085f1625729708ba65e87f5b37d7be9153b3db1a1b0e3fed309c
- c64b67c116044708e282d0d1a8caea2360270a7fc679befa5e28d1ca15f6714c
