FrostyGoop: невидимый диверсант, способный парализовать любой завод или фабрику

Исследователи из команды Unit42 обнаружили новое вредоносное ПО FrostyGoop, нацеленное на устройства систем управления промышленным оборудованием (ICS). Зловред использует протокол Modbus TCP для проведения атак на критическую инфраструктуру, включая объекты на Украине и в Румынии. Более того, вредонос даже способен наносить физический ущерб.

FrostyGoop впервые был замечен в октябре 2023 года. Вредоносное ПО эксплуатирует уязвимые Telnet-порты устройств ENCO и устаревшие маршрутизаторы TP-Link WR740N, что делает системы особенно уязвимыми для атак. Главная цель — доступ к устройствам и выполнение команд Modbus.

Особенностью FrostyGoop является использование уникальной конфигурации JSON и библиотеки Goccy’s go-json, что облегчает анализ его работы. Исследователи также нашли исполняемый файл «go-encrypt.exe», который шифрует JSON-файлы с помощью AES-CFB. Это может указывать на попытку злоумышленников скрыть чувствительные данные.

Вредоносное ПО активно использует Modbus TCP для взаимодействия с устройствами через порт 502. Зловредные команды включают чтение и запись регистров с помощью кодов функций 3, 6 и 16, что позволяет злоумышленникам управлять скомпрометированными устройствами.

Эксперты подчёркивают, что подобные атаки выявляют критические уязвимости в устаревшей инфраструктуре и подчёркивают необходимость в усилении защиты промышленных систем. С ростом интеграции IT и OT сетей появляются новые векторы атак, что делает угрозы от вредоносных программ, подобных FrostyGoop, ещё более значимыми.

Атаки на критическую инфраструктуру в таких странах, как Украина, Румыния и США, подтверждают актуальность проблемы. Эксперты из Palo Alto Networks подчёркивают, что защита устаревших систем — ключевой элемент безопасности.