第九個(gè)攻擊ICS的惡意軟件曝光�����!烏克蘭利沃夫市一供暖系統(tǒng)遭攻擊中斷兩天
摘要
據(jù)工業(yè)網(wǎng)絡(luò)安全公司Dragos最新發(fā)布的研究報(bào)告�,稱其發(fā)現(xiàn)了迄今為止已知的第九個(gè)專門針對(duì)工業(yè)控制系統(tǒng)(ICS)的惡意軟件-FrostyGoop。這是一個(gè)使用Modbus TCP通訊來(lái)對(duì)運(yùn)營(yíng)技術(shù)(OT)產(chǎn)生影響的ICS特定惡意軟件�����。Dragos于2024年4月發(fā)現(xiàn)了FrostyGoop�����。該惡意軟件可以直接使用Modbus與ICS進(jìn)行交互���,Modbus是全球所有工業(yè)部門和組織中使用的標(biāo)準(zhǔn)ICS協(xié)議。該惡意軟件與2022年發(fā)現(xiàn)的ICS惡意軟件PIPEDREAM不同��,PIPEDREAM在其組件中使用Modbus通訊進(jìn)行枚舉��。
此外���,烏克蘭安全局(Служба безпеки Укра?ни)的網(wǎng)絡(luò)安全態(tài)勢(shì)中心(CSSC)向 Dragos分享了有關(guān)烏克蘭利沃夫某地區(qū)能源公司遭受破壞性網(wǎng)絡(luò)攻擊的詳細(xì)信息��,這次攻擊導(dǎo)致客戶在兩天內(nèi)失去了供暖服務(wù)��。Dragos評(píng)估認(rèn)為FrostyGoop被用于此次攻擊�。一個(gè)相關(guān)的FrostyGoop配置文件包含了一個(gè)ENCO控制設(shè)備的IP地址,Dragos基于此中等信心地評(píng)估認(rèn)為FrostyGoop被用于攻擊那些對(duì)外開(kāi)放TCP端口502的ENCO控制器���。
Dragos并未將此次攻擊歸咎于任何國(guó)家或已知威脅行為者����。不過(guò)�����,該公司確實(shí)指出�����,在2024年1月份的攻擊中����,存在與莫斯科的幾個(gè)IP地址的連接。鑒于全球范圍內(nèi)廣泛使用Modbus設(shè)備�,這種威脅的廣泛適用性凸顯了對(duì)ICS網(wǎng)絡(luò)可見(jiàn)性和Modbus流量監(jiān)控的緊迫需求����。檢測(cè)并標(biāo)記偏離正常行為的情況��,以及識(shí)別利用Modbus協(xié)議的攻擊模式和行為至關(guān)重要�����。這需要從最新的關(guān)于漏洞�、攻擊向量和針對(duì)Modbus系統(tǒng)的惡意軟件的威脅情報(bào)中開(kāi)發(fā)檢測(cè)方法。
關(guān)鍵發(fā)現(xiàn)
• FrostyGoop是第九個(gè)專門針對(duì)工業(yè)控制系統(tǒng)(ICS)的惡意軟件��。它是第一個(gè)使用Modbus通信對(duì)運(yùn)營(yíng)技術(shù)(OT)產(chǎn)生影響的ICS特定惡意軟件���。此前發(fā)現(xiàn)的分別是Trisis (Triton), CrashOverride (Industroyer), BlackEnergy2, Havex, Stuxnet, Industroyer2, PipeDream,和Fuxnet。
• 在2024年4月����,Dragos發(fā)現(xiàn)了多個(gè)FrostyGoop二進(jìn)制文件。FrostyGoop是用Golang編寫的ICS專用惡意軟件����,通過(guò)502端口使用Modbus TCP直接與工業(yè)控制系統(tǒng)(ICS)交互。它是為Windows系統(tǒng)編譯的��,且在發(fā)現(xiàn)時(shí),殺毒軟件供應(yīng)商并未檢測(cè)到它具有惡意性�����。
• FrostyGoop能夠讀取和寫入ICS設(shè)備的保持寄存器���,這些寄存器包含輸入�����、輸出和配置信息��。它接受可選的命令行執(zhí)行參數(shù)����,使用單獨(dú)的配置文件指定目標(biāo)IP地址和Modbus命令����,并將輸出記錄到控制臺(tái)和/或JSON文件中。
• 安全局(Служба безпеки Укра?ни)的網(wǎng)絡(luò)安全形勢(shì)中心(CSSC)向Dragos分享了關(guān)于一次針對(duì)烏克蘭利沃夫市某市政區(qū)能源公司的網(wǎng)絡(luò)攻擊的詳細(xì)信息���。在零下溫度期間�,這次攻擊破壞了供暖服務(wù)的電力供應(yīng)����,影響了超過(guò)600棟公寓樓��。攻擊者向ENCO控制器發(fā)送Modbus命令����,導(dǎo)致測(cè)量不準(zhǔn)確和系統(tǒng)故障����,修復(fù)工作花費(fèi)了將近兩天時(shí)間。
• 調(diào)查顯示��,攻擊者可能通過(guò)外部Mikrotik路由器的一個(gè)未確定的漏洞進(jìn)入受害者網(wǎng)絡(luò)��。包括Mikrotik路由器�、四個(gè)管理服務(wù)器和區(qū)供暖系統(tǒng)控制器在內(nèi)的網(wǎng)絡(luò)資產(chǎn)沒(méi)有進(jìn)行充分的分段,便于攻擊的實(shí)施�����。
• FrostyGoop通過(guò)Modbus TCP與ICS設(shè)備通信的能力威脅到多個(gè)領(lǐng)域的重要基礎(chǔ)設(shè)施����。鑒于Modbus協(xié)議在工業(yè)環(huán)境中的普遍存在��,這種惡意軟件通過(guò)與傳統(tǒng)和現(xiàn)代系統(tǒng)交互,可能在所有工業(yè)部門造成破壞��。
• 烏克蘭利沃夫市的事件強(qiáng)調(diào)了充分安全控制的重要性�����,包括OT原生監(jiān)控�����。殺毒軟件供應(yīng)商未能檢測(cè)到該惡意軟件��,突顯出實(shí)施持續(xù)OT網(wǎng)絡(luò)安全監(jiān)控的重要性��,需要具備ICS協(xié)議感知分析功能�,以告知運(yùn)營(yíng)潛在風(fēng)險(xiǎn)。
• Dragos建議組織實(shí)施SANS世界級(jí)OT網(wǎng)絡(luò)安全的5項(xiàng)關(guān)鍵控制措施����。這些措施包括ICS事件響應(yīng)、可防御架構(gòu)�、ICS網(wǎng)絡(luò)可見(jiàn)性和監(jiān)控、安全遠(yuǎn)程訪問(wèn)以及基于風(fēng)險(xiǎn)的漏洞管理���。
FrostyGoop惡意軟件解析
FrostyGoop是第九個(gè)專門針對(duì)工業(yè)控制系統(tǒng)(ICS)的惡意軟件��,也是第一個(gè)利用Modbus通信對(duì)運(yùn)營(yíng)技術(shù)(OT)產(chǎn)生影響的ICS特定惡意軟件�����。2024年4月��,Dragos發(fā)現(xiàn)了多個(gè)FrostyGoop二進(jìn)制文件�����。這些文件是用Golang編寫的���,能夠通過(guò)502端口使用Modbus TCP直接與ICS交互�,并為Windows系統(tǒng)編譯����。當(dāng)時(shí),殺毒軟件供應(yīng)商并未將其檢測(cè)為惡意軟件��。
1.讀寫能力
FrostyGoop可以讀取和寫入ICS設(shè)備的保持寄存器�����,這些寄存器包含輸入����、輸出和配置信息。它接受可選的命令行執(zhí)行參數(shù)���,使用單獨(dú)的配置文件指定目標(biāo)IP地址和Modbus命令�����,并將輸出記錄到控制臺(tái)和/或JSON文件中����。通過(guò)命令行參數(shù)或JSON配置文件�,用戶可以指定目標(biāo)設(shè)備的IP地址、執(zhí)行的Modbus命令模式(如讀取保持寄存器�����、寫入單個(gè)保持寄存器�����、寫入多個(gè)保持寄存器)����、目標(biāo)ICS設(shè)備上的Modbus寄存器地址�、JSON配置文件名稱以及日志輸出文件名�����。
2.配置文件
FrostyGoop的配置文件以JSON格式包含執(zhí)行Modbus命令所需的信息���。惡意軟件讀取文件��,解析JSON數(shù)據(jù)���,連接到文件中的IP地址,并向配置文件中指定的保持寄存器地址發(fā)送Modbus TCP命令��。Dragos發(fā)現(xiàn)的一個(gè)示例配置文件名為“task_test.json”���,其IP地址屬于ENCO控制設(shè)備���。ENCO控制設(shè)備通常用于區(qū)域供熱、熱水和通風(fēng)系統(tǒng)中的過(guò)程控制��,監(jiān)測(cè)溫度����、壓力和絕緣等傳感器參數(shù)����。
3.網(wǎng)絡(luò)通信
在網(wǎng)絡(luò)通信方面����,F(xiàn)rostyGoop通過(guò)Modbus TCP端口502與目標(biāo)IP地址通信����。目標(biāo)IP地址可以通過(guò)惡意軟件執(zhí)行期間使用的參數(shù)或配置JSON文件中指定。一旦建立連接�,F(xiàn)rostyGoop會(huì)向設(shè)備發(fā)送Modbus命令,并在接收到設(shè)備的響應(yīng)后關(guān)閉連接并退出執(zhí)行�����。FrostyGoop使用從公開(kāi)的Github庫(kù)中獲取的Go Modbus庫(kù)����,支持三種Modbus命令:讀取保持寄存器(命令碼3)、寫入單個(gè)寄存器(命令碼6)和寫入多個(gè)保持寄存器(命令碼16)
4.日志記錄
FrostyGoop的日志記錄功能會(huì)將Modbus TCP通信的輸出記錄到Windows控制臺(tái)和JSON文件中�。執(zhí)行時(shí)打開(kāi)控制臺(tái)窗口,如果指定了日志記錄參數(shù)����,則將輸出記錄到JSON文件中����。通信期間�,F(xiàn)rostyGoop會(huì)記錄本地時(shí)間和日期、開(kāi)始通信的目標(biāo)IP地址��、命令發(fā)送的保持寄存器���、寄存器數(shù)量��、設(shè)備響應(yīng)的正負(fù)號(hào)以及響應(yīng)時(shí)間����。如果設(shè)備的響應(yīng)包含異常����,F(xiàn)rostyGoop會(huì)記錄一個(gè)減號(hào),例如�����,當(dāng)保持寄存器不存在時(shí)�,設(shè)備會(huì)向惡意軟件發(fā)送異常���。
攻擊烏克蘭利沃夫某供暖系統(tǒng)始末
2024年1月22日晚至23日,烏克蘭安全局(Служба безпеки Укра?ни)下屬的網(wǎng)絡(luò)安全形勢(shì)中心(CSSC)與Dragos共享了有關(guān)在烏克蘭利沃夫市發(fā)生的一次針對(duì)市政區(qū)域能源公司的網(wǎng)絡(luò)攻擊詳細(xì)信息�。此次攻擊影響了超過(guò)600棟公寓樓的集中供暖,造成居民在零下溫度中忍受了將近兩天的供暖中斷��。
調(diào)查顯示�����,攻擊者可能于2023年4月17日通過(guò)利用一個(gè)外部Mikrotik路由器上的未確定漏洞進(jìn)入受害者網(wǎng)絡(luò)�。隨后����,他們?cè)?023年4月20日和26日部署了一個(gè)類似于ReGeorg的帶有隧道功能的webshell,并通過(guò)Tor IP地址訪問(wèn)����。攻擊者在2023年11月30日和12月14日獲取了安全帳戶管理器(SAM)注冊(cè)表配置單元的內(nèi)容,從系統(tǒng)中獲取了用戶憑證�����。2024年1月22日�����,攻擊者通過(guò)L2TP連接到莫斯科的IP地址。
受害網(wǎng)絡(luò)資產(chǎn)包括一個(gè)Mikrotik路由器�����、四臺(tái)管理服務(wù)器和區(qū)域供熱系統(tǒng)控制器�����,未進(jìn)行充分的網(wǎng)絡(luò)分段���。取證調(diào)查顯示�����,攻擊者通過(guò)硬編碼網(wǎng)絡(luò)路由直接向供熱系統(tǒng)控制器發(fā)送Modbus命令���。受影響的控制器為ENCO控制器,攻擊者將其固件從版本51和52降級(jí)到不具備監(jiān)控功能的版本50��,導(dǎo)致視圖喪失�����。攻擊者并未試圖破壞控制器,而是讓控制器報(bào)告錯(cuò)誤的測(cè)量數(shù)據(jù)����,導(dǎo)致系統(tǒng)操作錯(cuò)誤和供暖喪失。
Dragos評(píng)估認(rèn)為��,最近報(bào)告的與ICS相關(guān)的惡意軟件FrostyGoop被用于此次攻擊��。FrostyGoop使用Modbus協(xié)議��,可能影響多個(gè)設(shè)備�����。相關(guān)配置文件“task_test.json”包含一個(gè)屬于暴露在互聯(lián)網(wǎng)的ENCO控制設(shè)備的IP地址��,Dragos據(jù)此中等置信度地評(píng)估FrostyGoop在此次攻擊前已用于針對(duì)一個(gè)或多個(gè)TCP端口502可通過(guò)互聯(lián)網(wǎng)訪問(wèn)的ENCO控制器��。該安全供應(yīng)商表示�,它能夠找到目前通過(guò)該協(xié)議通信的約46,000臺(tái)互聯(lián)網(wǎng)工業(yè)控制系統(tǒng)設(shè)備�����。
措施建議
利沃夫能源公司因缺乏網(wǎng)絡(luò)分段�,導(dǎo)致攻擊者從初始立足點(diǎn)橫向移動(dòng)至供暖系統(tǒng)控制器�,并通過(guò)降級(jí)固件使系統(tǒng)監(jiān)控失效��,導(dǎo)致供暖中斷���。攻擊者利用Modbus協(xié)議的弱點(diǎn)�,展現(xiàn)了對(duì)ICS惡意軟件的高度針對(duì)性利用����。FrostyGoop惡意軟件可能已用于攻擊其他暴露于互聯(lián)網(wǎng)的Modbus控制器,突顯了ICS環(huán)境在網(wǎng)絡(luò)安全方面的脆弱性���。
針對(duì)FrostyGoop攻擊烏克蘭供暖系統(tǒng)的案例���,dragos.com建議用戶實(shí)施五項(xiàng)關(guān)鍵控制措施來(lái)提高網(wǎng)絡(luò)安全性。
1. 工業(yè)控制系統(tǒng)(ICS)的事故響應(yīng):制定強(qiáng)有力的事故響應(yīng)計(jì)劃�,特別是針對(duì)OT環(huán)境,確?�?焖俑綦x受影響設(shè)備�,分析網(wǎng)絡(luò)流量,恢復(fù)正常系統(tǒng)操作���。
2. 可防御性架構(gòu):實(shí)施防御性架構(gòu)��,優(yōu)先進(jìn)行網(wǎng)絡(luò)資產(chǎn)的分段����,建立工業(yè)隔離區(qū)(DMZ),加強(qiáng)訪問(wèn)控制��,使用物理或虛擬屏障防止直接訪問(wèn)關(guān)鍵系統(tǒng)�。
3. ICS網(wǎng)絡(luò)可見(jiàn)性與監(jiān)控:持續(xù)監(jiān)控OT網(wǎng)絡(luò)流量,如Modbus通信��,以檢測(cè)和響應(yīng)異常和威脅行為�����。
4. 安全遠(yuǎn)程訪問(wèn):加強(qiáng)遠(yuǎn)程訪問(wèn)保護(hù)�,部署多因素認(rèn)證�,確保所有遠(yuǎn)程連接都被記錄和監(jiān)控,使用VPN加密傳輸數(shù)據(jù)���。
基于風(fēng)險(xiǎn)的漏洞管理:定期評(píng)估以識(shí)別和解決漏洞��,特別是當(dāng)存在積極利用的證據(jù)時(shí)���,如果無(wú)法打補(bǔ)丁���,則采取補(bǔ)償控制措施如加強(qiáng)監(jiān)控或限制性訪問(wèn)控制。
參考資源
1���、https://www.darkreading.com/ics-ot-security/novel-ics-malware-sabotaged-water-heating-services-in-ukraine
2�����、https://www.securityweek.com/frostygoop-ics-malware-left-ukrainian-citys-residents-without-heating/
3�、https://hub.dragos.com/hubfs/Reports/Dragos-FrostyGoop-ICS-Malware-Intel-Brief-0724_.pdf
文章來(lái)源: 安帝Andisec
在線咨詢
在線咨詢
0371-63319761