Malware ICS ‘FrostyGoop’ ataca infraestructura crítica

Investigadores de ciberseguridad han identificado un noveno malware centrado en Sistemas de Control Industrial (ICS) que estuvo involucrado en un ataque cibernético dirigido a una empresa energética en Lviv, Ucrania, a principios de enero. La firma de ciberseguridad industrial Dragos ha nombrado a este malware como FrostyGoop, destacando que es la primera cepa de malware que utiliza comunicaciones Modbus TCP para afectar redes de tecnología operativa (OT). Esta amenaza fue descubierta en abril de 2024.

El malware FrostyGoop, escrito en Golang, tiene la capacidad de interactuar directamente con Sistemas de Control Industrial utilizando Modbus TCP sobre el puerto 502. Los investigadores Kyle O’Meara, Magpie (Mark) Graham y Carolyn Ahlers mencionaron en un informe técnico que este malware está diseñado para atacar sistemas Windows y específicamente controladores ENCO con el puerto TCP 502 expuesto a Internet.

Además, FrostyGoop puede leer y escribir en dispositivos ICS, manipulando registros que contienen información crucial. También posee capacidades para aceptar argumentos de línea de comandos, utilizar archivos de configuración para especificar direcciones IP de destino y comandos Modbus, así como registrar la salida en una consola y/o un archivo JSON.

El ataque a la empresa energética resultó en una interrupción en los servicios de calefacción para más de 600 edificios de apartamentos durante aproximadamente 48 horas. Según los investigadores, los atacantes lograron esto enviando comandos Modbus a los controladores ENCO, lo que llevó a mediciones inexactas y al malfuncionamiento del sistema. El acceso inicial probablemente se obtuvo explotando una vulnerabilidad en los enrutadores Mikrotik en abril de 2023.

A pesar de que FrostyGoop utiliza el protocolo Modbus para sus comunicaciones, no es el único malware que lo hace. Todo esto es relevante debido a los graves riesgos que representa para la seguridad y las operaciones industriales. Además, se hace hincapié en la necesidad de implementar marcos integrales de ciberseguridad para proteger la infraestructura crítica de futuras amenazas similares.

Vía The Hacker News