FrostyGoop, endüstriyel kontrol sistemleri (ICS) kötü amaçlı yazılımlarında önemli bir ilerlemeyi temsil ediyor, dokuzuncu ICS’ye özgü tehdit ve Operasyonel Teknolojiyi (OT) doğrudan etkilemek için Modbus TCP iletişiminden yararlanan ilk tehdit.
FrostyGoop, 2022 yılında keşfedilen PIPEDREAM’in aksine, numaralandırma için Modbus’u kullandığında, ICS saldırıları söz konusu olduğunda operasyonlarındaki OT’yi doğrudan etkileyerek karmaşıklıkta bir adım daha ileri gidiyor.
FrostyGoop’un Modbus TCP aracılığıyla OT sistemlerini doğrudan manipüle edebilme yeteneği, ICS hedefli siber saldırıların karmaşıklığı ve potansiyel etkisi açısından endişe verici bir ilerlemeyi gösteriyor.
Dragos’taki siber güvenlik araştırmacıları, yakın zamanda sıfırın altındaki sıcaklıklarda 600 apartmanın kaloriferlerini kapatan Rus FrostyGoop zararlı yazılımını tespit etti.
Join our free webinar to learn about combating slow DDoS attacks, a major threat today.
Rus Kötü Amaçlı Yazılım Isıtıcıları Kesiyor
Dragos, FrostyGoop’un Modbus TCP iletişimini istismar ederek Windows üzerinden endüstriyel kontrol sistemlerini açıkça hedef aldığını buldu.
Ukraynalı bir enerji şirketine yapılan siber saldırıda bu ICS’ye özgü kötü amaçlı yazılımın kullanılması, iki gün boyunca kaloriferlerin kesilmesine neden oldu.
Kötü amaçlı yazılımın küresel hedefleme yeteneği aslında ICS ağ izleme ve güvenlik kapasitelerinin yükseltilmesini zorunlu kılıyor.
FrostyGoop’un yapılandırma dosyalarının kullanımı ve komut satırı argümanlarına dayalı özelleştirilebilir saldırılar da dahil olmak üzere yenilikçi tasarımı, hedefli ICS tehditlerinde önemli bir değişimi temsil ediyor.
Aşağıda FrostyGoop’un yeteneklerinden bahsettik:
- İsteğe bağlı komut satırı argümanlarını kabul eder.
- Hedef IP’ler ve Modbus komutları için yapılandırma dosyalarını kullanır.
- Modbus TCP kullanarak ICS cihazlarıyla iletişim kurar.
- ICS verilerini okumak/değiştirmek için Modbus komutları gönderir.
- Günlük çıktısını konsola veya JSON dosyasına gönderir.
FrostyGoop, öncelikli olarak 502 numaralı portta Modbus TCP protokolü aracılığıyla endüstriyel kontrol sistemlerini hedef alır. Yürütme argümanı olarak veya JSON yapılandırma dosyasında sağlanan belirtilen IP adreslerine bağlanır.
Kötü amaçlı yazılım üç Modbus komutunu uygular ve aşağıda bunlardan bahsettik:
- Komut Kodu 3 (Bekleme Kayıtlarını Oku)
- Komut Kodu 6 (Tek Kayıt Yaz)
- Komut Kodu 16 (Birden Fazla Tutma Kaydı Yaz)
FrostyGoop, herkese açık bir Go Modbus kütüphanesi kullanarak bu komutları gönderir, cihaz yanıtlarını işler, ardından bağlantıyı kapatır ve çıkar.
Bu durum, kötü amaçlı yazılımın hedef cihazlardaki verileri okumasına ve değiştirmesine olanak tanıyor ve bu da endüstriyel süreçleri aksatma potansiyeli taşıyor.
FrostyGoop kötü amaçlı yazılımı, Modbus TCP iletişimlerini bir konsola ve isteğe bağlı olarak bir JSON dosyasına kaydederek başlangıç saatini, hedef IP’yi ve komut ayrıntılarını kaydeder.
Ocak 2024’te Ukrayna’nın Lviv kentindeki bir ısıtma tesisine yapılan ve dondurucu soğuklarda hizmet kesintisine yol açan saldırıda kullanıldığı düşünülüyor.
Bu, yönlendirici güvenlik açıklarından yararlanmayı, webshell’i dağıtmayı ve ENCO Denetleyicilerini tehlikeye atmayı içeriyordu.
FrostyGoop’un Modbus TCP aracılığıyla çeşitli ICS cihazlarıyla etkileşime girebilme yeteneğinin oluşturduğu küresel tehdit göz ardı edilemez.
Bu olay, diğer şeylerin yanı sıra, ağ segmentasyonu ve internete maruz kalan ICS cihazlarının korunması gibi güçlü OT siber güvenlik önlemlerine olan ihtiyacı vurguluyor.
Öneriler
Aşağıda araştırmacıların sunduğu tüm önerilere yer verdik:
- OT’ye özgü süreçler ve sık tatbikatlarla güçlü ICS olay müdahale planları uygulayın.
- Uygun ağ segmentasyonu ve endüstriyel DMZ’ler ile savunulabilir bir mimari yaratın.
- Anormallikleri tespit etmek için protokole duyarlı araçlar kullanarak ICS ağının sürekli izlenmesini sağlayın.
- Çok faktörlü kimlik doğrulama (MFA), VPN’ler ve sıkı erişim kontrol önlemlerini içeren güvenli uzaktan erişim protokollerini uygulayın.
- Yerelleştirilmiş değerlendirmeler ve azaltma programlarını içeren ICS bileşenlerine odaklanan risk tabanlı güvenlik açığı yönetimi gerçekleştirin.
AI Destekli Güvenlik ile İş E-postalarınızı Sahtecilik, Kimlik Avı ve BEC’den Koruyun | Ücretsiz Demo