Siber güvenlik araştırmacıları, Ocak ayının başlarında Ukrayna’nın Lviv kentinde bir enerji şirketini hedef alan yıkıcı bir siber saldırıda kullanılan dokuzuncu Endüstriyel Kontrol Sistemleri (ICS) odaklı kötü amaçlı yazılımı keşfettiklerini söylüyorlar.
Endüstriyel siber güvenlik firması Dragos, kötü amaçlı yazılıma şu adı verdi: BuzluGoopbunu doğrudan Modbus TCP iletişimlerini kullanarak operasyonel teknoloji (OT) ağlarını sabote eden ilk kötü amaçlı yazılım türü olarak tanımlıyor. Şirket tarafından Nisan 2024’te keşfedildi.
Araştırmacılar Kyle O’Meara, Magpie (Mark) Graham ve Carolyn Ahlers, The Hacker News ile paylaşılan teknik bir raporda, “FrostyGoop, Golang’da yazılmış, Modbus TCP’yi kullanarak 502 numaralı port üzerinden Endüstriyel Kontrol Sistemleri (ICS) ile doğrudan etkileşime girebilen, ICS’ye özgü bir kötü amaçlı yazılımdır” dedi.
Esas olarak Windows sistemlerini hedeflemek için tasarlanan kötü amaçlı yazılımın, internete açık TCP portu 502 olan ENCO denetleyicilerini hedeflemek için kullanıldığı düşünülüyor. Daha önce tanımlanmış herhangi bir tehdit aktörü veya etkinlik kümesiyle ilişkilendirilmemiştir.
FrostyGoop, girişleri, çıkışları ve yapılandırma verilerini içeren kayıtları tutan bir ICS cihazını okuma ve yazma yetenekleriyle birlikte gelir. Ayrıca isteğe bağlı komut satırı yürütme argümanlarını kabul eder, hedef IP adreslerini ve Modbus komutlarını belirtmek için JSON biçimli yapılandırma dosyalarını kullanır ve çıktıyı bir konsola ve/veya bir JSON dosyasına kaydeder.
Belediye bölge enerji şirketini hedef alan olayda, 600’den fazla apartmanın yaklaşık 48 saat boyunca ısıtma hizmetlerinden mahrum kaldığı belirtiliyor.
Araştırmacılar, bir konferans görüşmesinde, “Rakipler ENCO kontrol cihazlarına Modbus komutları gönderdi, bu da yanlış ölçümlere ve sistem arızalarına neden oldu” dedi ve ilk erişimin muhtemelen Nisan 2023’te Mikrotik yönlendiricilerindeki bir güvenlik açığından yararlanılarak elde edildiğine dikkat çekti.
“Rakipler ENCO kontrolörlerine Modbus komutları gönderdiler, bu da yanlış ölçümlere ve sistem arızalarına neden oldu. Düzeltme işlemi neredeyse iki gün sürdü.”
FrostyGoop, istemci/sunucu iletişimleri için Modbus protokolünü kapsamlı bir şekilde kullansa da, tek protokol olmaktan çok uzaktır. 2022’de Dragos ve Mandiant, etkileşim için OPC UA, Modbus ve CODESYS gibi çeşitli endüstriyel ağ protokollerini kullanan PIPEDREAM (diğer adıyla INCONTROLLER) adlı başka bir ICS kötü amaçlı yazılımını ayrıntılı olarak açıkladı.
Ayrıca Stuxnet, Havex, Industroyer (diğer adıyla CrashOverride), Triton (diğer adıyla Trisis), BlackEnergy2, Industroyer2 ve COSMICENERGY’den sonra dokuzuncu ICS odaklı kötü amaçlı yazılımdır.
Dragos, kötü amaçlı yazılımın Modbus kullanarak ICS cihazlarındaki verileri okuma veya değiştirme yeteneğinin endüstriyel operasyonlar ve kamu güvenliği açısından ciddi sonuçlara yol açtığını belirterek, 46.000’den fazla internete bağlı ICS cihazının yaygın olarak kullanılan protokol üzerinden iletişim kurduğunu söyledi.
Araştırmacılar, “Modbus TCP üzerinden 502 numaralı port üzerinden ICS’nin özel olarak hedef alınması ve çeşitli ICS cihazlarıyla doğrudan etkileşime girme potansiyeli, birçok sektördeki kritik altyapı için ciddi bir tehdit oluşturuyor” dedi.
“Kuruluşlar, gelecekte benzer tehditlere karşı kritik altyapıları korumak için kapsamlı siber güvenlik çerçevelerinin uygulanmasına öncelik vermelidir.”