Araştırmacılar, Ocak 2024’te Ukrayna’nın Lviv kentindeki yaklaşık 600 apartman binasının sıfırın altındaki sıcaklıklarda ısınma hizmetlerini aksatan saldırıyı, özellikle endüstriyel kontrol sistemlerini hedef almak üzere tasarlanmış tehlikeli bir yeni kötü amaçlı yazılıma bağladılar.
Dragos’taki araştırmacılar tarafından keşfedilen FrostyGoop adlı kötü amaçlı yazılım, tehdit aktörlerinin ICS ortamlarında yaygın olarak kullanılan bir iletişim protokolü olan Modbus aracılığıyla doğrudan operasyonel teknoloji (OT) sistemleriyle etkileşime girmesine izin veren bilinen ilk kötü amaçlı yazılımdır. Bu, FrostyGoop’u özellikle tehlikeli hale getirir çünkü saldırganlar onu iletişim için Modbus kullanan hemen hemen her ICS sistemine saldırmak için kullanabilirler, Dragos bir raporda şöyle dedi bu hafta. Güvenlik satıcısı, şu anda protokol üzerinden iletişim kuran yaklaşık 46.000 İnternete maruz kalan ICS cihazı bulabildiğini söyledi. FrostyGoop, ICS ortamlarına saldırmak için özel olarak tasarlanmış bilinen dokuzuncu kötü amaçlı araçtır.
Dragos, “Modbus, eski ve modern sistemlere ve hemen hemen tüm endüstriyel sektörlere yerleştirilmiştir. Bu da temel hizmetleri ve sistemleri bozma ve tehlikeye atma konusunda geniş kapsamlı bir potansiyele işaret ediyor” dedi.[FrostyGoop] “ICS cihazlarının bütünlüğü ve işlevselliği açısından önemli bir risk teşkil eder ve endüstriyel operasyonlar ile kamu güvenliği açısından potansiyel olarak çok geniş kapsamlı sonuçlara yol açabilir.”
Dragos araştırmacıları, FrostyGoop ikili dosyalarıyla ilk kez Nisan 2024’te bir müşteri konumunda şüpheli görünen dosyaların rutin sınıflandırmasını gerçekleştirirken karşılaştı. İlk analizleri, kötü amaçlı yazılımın hala test aşamasında olduğunu gösteriyordu ancak Ukrayna Siber Güvenlik Durum Merkezi (CSSC) Dragos ile Ocak 2024’te Lviv’deki bir bölge enerji şirketine yapılan saldırı hakkında ayrıntıları paylaştıktan sonra bu değerlendirmeyi hızla revize ettiler.
Yaklaşık 48 Saat Boyunca Soğutulmuş Sıcak Su
Golang’da yazılmış ve Windows için derlenmiş FrostyGoop, saldırganların 502 numaralı port üzerinden Modbus TCP kullanarak ICS ile doğrudan etkileşim kurmasını sağlar. Kötü amaçlı yazılımı dağıtan bir saldırgan, ICS aygıt tutma kayıtlarındaki girdilere, çıktılara ve yapılandırma verilerine erişebilir ve bunları değiştirebilir. Aygıt tutma kayıtları, endüstriyel sistemlerde belirli bir veri depolama konumu türüdür.
Kötü amaçlı yazılım aynı zamanda saldırganın kurban sistemlere yetkisiz komutlar göndermesine de olanak tanıyor.
Ukrayna’daki siber saldırı, Lviv’deki yaklaşık 600 apartmanda yaşayanlara sıcak su dağıtımı hizmetini yöneten bir şirketteki ENCO markalı ısıtma sistemi kontrolörlerini hedef aldı. Saldırganlar, yanlış ölçümleri ve sistem arızalarını tetikleyen Modbus komutlarını kontrolörlere göndermek için FrostyGoop’u kullandı. Olay müdahale ekipleri, sorunu gidermek için yaklaşık iki gün çalışmak zorunda kaldı.
Dragos’un teknik direktörü Magpie (Mark) Graham, bir konferans görüşmesinde, “Yükün yaptığı şey, kontrolörlerdeki değerleri değiştirerek suyun sıcaklığının olduğundan daha sıcak olduğunu düşünmelerini sağlamaktı, böylece suyu ısıtmayacaktı,” dedi. Sonuç olarak şirket, bunun yerine dairelere soğuk su pompalamak zorunda kaldı, dedi.
Dragos, saldırganı daha önce tanımlanmış herhangi bir tehdit aktörü veya faaliyet kümesine bağlayamadı. Ancak saldırganın, kinetik bir saldırının da işe yarayabileceği bir zamanda, sıcak su kaynaklarını bozmak için siber araçlar kullanması, Ukrayna’nın savunmasının günümüzde Rusya’dan gelen füze saldırılarını daha iyi engelleyebilmesiyle ilgili olabilir, dedi.
Dragos’un araştırması, saldırının tehdit aktörlerinin ilk olarak Nisan 2023’te dışarıya bakan bir Microtek yönlendiricisindeki henüz belirlenmemiş bir güvenlik açığı aracılığıyla enerji şirketinin ağına erişim sağlamasıyla başladığını buldu. 20 Nisan ile 26 Nisan 2023 arasındaki altı günlük bir süre boyunca saldırgan, kurban ortamında birkaç ay sonra kullanıcı kimlik bilgilerini sızdırmak için kullandıkları bir Web kabuğu dağıttı. Ocak 2024’te saldırganlar, tehlikeye atılmış ortam ile Rusya’da bulunan bir IP adresi arasında bir bağlantı kurdu.
Diğer Siber Saldırıların Potansiyeli
Lviv enerji şirketinde ağ segmentasyonunun eksikliği nedeniyle saldırganlar, başlangıçtaki dayanak noktalarını kullanarak ortamda birden fazla yönetim sunucusuna ve sonunda şirketin ısıtma sistemi denetleyicilerine yatay olarak geçebildiler. Saldırı zincirinin bir parçası olarak saldırganlar, denetleyicilerdeki aygıt yazılımını, tesiste konuşlandırılan enerji şirketinin sistem izleme sistemi tarafından desteklenmeyen bir sürüme düşürdüler.
“Rakipler kontrolörleri yok etmeye çalışmadı,” dedi Dragos. “Bunun yerine, rakipler kontrolörlerin yanlış ölçümler bildirmesine neden oldu, bu da sistemin yanlış çalışmasına ve müşterilerin ısınma kaybına yol açtı.”
Graham, Lviv’deki saldırıdan önce tehdit aktörlerinin FrostyGoop’u İnternet’e açık Modbus portlarına sahip diğer denetleyicileri hedeflemek için kullanmış olma ihtimalinin yüksek olduğunu söyledi. Herhangi bir durumda cihazlara erişim sağlamak için hiçbir ağ ihlali gerekmeyeceğini söyledi. “Bunlar sizin veya benim şu anda İnternet’ten sorunsuz bir şekilde erişebileceğimiz cihazlar.”
ICS’ye özgü kötü amaçlı yazılım araçları engellenmesi zor olabilir. Ancak saldırganlar genellikle bunları yalnızca yüksek hedefli kampanyalar için ayırmışlardır. Bu kategorideki daha iyi bilinen kötü amaçlı yazılımlar arasında Stuxnetİran’ın Natanz’daki Uranyum zenginleştirme tesisini tahrip etmek için saldırganların kullandığı, Industroyer/Çökme Geçersiz KılmaRusya’nın Sandworm grubunun Ukrayna elektrik şebekesine yönelik saldırılarında kullandığı ve Avrupa’daki SCADA ve ICS ortamlarını hedef alan Havex adlı siber saldırılar.
Dragos, ICS ortamlarının ağlarını bu kötü amaçlı yazılımdan korumak için beş temel uygulamayı uygulamasını öneriyor: hasarı azaltmak için ağ segmentasyonu; gelişmiş görünürlük için sürekli izleme; güvenli uzaktan erişim; risk tabanlı güvenlik açığı yönetimi; ve güçlü olay yanıt yetenekleri.