Международные новости утечек информации, ежегодные аналитические отчеты и статистика по инцидентам за прошедшие годы.
Dragos о кибератаке FrostyGoop на АСУ ТП
Компания Dragos, рассказала о кибератаках с помощью ВПО FrostyGoop. Эти кибератаки наиболее опасны из-за способности ВПО FrostyGoop взаимодействовать с устройствами АСУ ТП по протоколу Modbus TCP, что позволяет отправлять команды для чтения или изменения данных на этих устройствах. Кибератаки представляют значительный риск для целостности и функциональности устройств АСУ ТП, что может иметь далеко идущие последствия для промышленной деятельности и общественной безопасности.
В настоящее время более 46 000 устройств АСУ ТП, подключенных к Интернету, взаимодействуют по протоколу Modbus по всему миру. Обнаруженное ВПО FrostyGoop также способно считывать и записывать данные на устройства АСУ ТП, содержащие входные и выходные данные и данные конфигурации. ВПО FrostyGoop использует отдельные файлы конфигурации для определения целевых IP-адресов и команд Modbus, а также вывода данных на консоль и/или JSON-файл.
Компания Dragos изучила детали атаки с помощью ВПО FrostyGoop на энергетическую компанию во Львове. Dragos обнаружила, что FrostyGoop атаковал компанию через контроллеры ENCO с TCP-портом 502, открытым для Интернета. Dragos заявляет, что FrostyGoop может воздействовать и на другие устройства, обменивающиеся данными по протоколу Modbus TCP; функциональность вредоносного ПО не является специфичной для устройств ENCO. Протокол Modbus TCP встроен как в устаревшие, так и в современные системы практически во всех отраслях промышленности, что указывает на большую угрозу для сбоев в работе и компрометации основных служб и систем.
Кроме того, двоичные файлы FrostyGoop используют библиотеку Go Modbus, полученную из общедоступного репозитория Github. FrostyGoop реализует три команды Modbus, включая код команды 3 «Считывание удерживающих регистров», который используется для считывания значения, находящегося в данный момент в удерживающем регистре Modbus (или непрерывном блоке удерживающих регистров); код команды 6 «Запись в один регистр», который используется для записи значения в удерживающий регистр; и код команды 16 «Запись нескольких удерживающих регистров», которая используется для записи значения в блок смежных регистров.
В заключении Dragos отмечает, что возможности FrostyGoop взаимодействовать с устройствами АСУ ТП по протоколу Modbus TCP и то, что антивирусы не обнаруживают это ВПО, еще раз подчеркивают острую необходимость в обеспечении надежных мер кибербезопасности АСУ ТП.
Источник: Dragos