Компания Dragos, специализирующаяся на кибербезопасности, обнаружила использование FrostyGoop, вредоносной программы для Windows в кибератаке, совершенной в январе 2024 года, в результате которой было нарушено отопление более 600 многоквартирных домов во Львове (Украина). Вредоносная программа нацелена на промышленные системы управления (ICS), использующие протокол связи Modbus TCP.
Злоумышленники получили первоначальный доступ к сети жертвы почти год назад, воспользовавшись уязвимостью в открытом для доступа в Интернет маршрутизаторе Mikrotik. Они поддерживали доступ с помощью веб-оболочки, похищали учетные данные пользователей и, в конце концов, взломали контроллеры системы отопления района, понизив их прошивку, чтобы избежать обнаружения.
Поскольку сеть поставщика услуг не была сегментирована, хакеры переключились на компрометацию внутренней сети и развернули вредоносную программу FrostyGoop. F
rostyGoop - это ICS-специфическое вредоносное ПО, написанное на языке Golang, которое напрямую взаимодействует с ICS, используя MODBUS TCP через порт 502. Затем вредоносная программа отправляла команды через внутреннюю сеть Ethernet на контроллеры ENCO, которые провайдер использовал для управления котлами и насосами отопления.
По словам Драгоса, этот инцидент примечателен тем, что FrostyGoop - первый штамм вредоносного ПО для ICS, ориентированный на злоупотребление протоколом MODBUS, который является одним из самых популярных протоколов ICS.
Indicators of Compromise
SHA256
- 2fd9cb69ef30c0d00a61851b2d96350a9be68c7f1f25a31f896082cfbf39559a
- 5d2e4fd08f81e3b2eb2f3eaae16eb32ae02e760afc36fa17f4649322f6da53fb
- 91062ed8cc5d92a3235936fb93c1e9181b901ce6fb9d4100cc01167cdc08745f
- a63ba88ad869085f1625729708ba65e87f5b37d7be9153b3db1a1b0e3fed309c
