برمجيات ICS الضارة الجديدة “FrostyGoop” تستهدف البنية التحتية الحيوية
اكتشف باحثو الأمن السيبراني ما يقولون إنه البرنامج الضار التاسع الذي يركز على أنظمة التحكم الصناعية (ICS) والذي تم استخدامه في هجوم سيبراني تخريبي استهدف شركة طاقة في مدينة لفيف الأوكرانية في وقت سابق من شهر يناير هذا العام.
أطلقت شركة الأمن السيبراني الصناعي Dragos اسم البرامج الضارة FrostyGoopواصفًا إياها بأنها أول سلالة من البرامج الضارة يتم استخدامها مباشرة مودبوس اتصالات TCP لتخريب شبكات التكنولوجيا التشغيلية (OT). وقد اكتشفته الشركة في أبريل 2024.
“FrostyGoop عبارة عن برنامج ضار خاص بـ ICS مكتوب بلغة Golang ويمكنه التفاعل مباشرة مع أنظمة التحكم الصناعية (ICS) باستخدام Modbus TCP عبر المنفذ 502″، هذا ما قاله الباحثون كايل أوميرا وماغبي (مارك) جراهام وكارولين أهلرز. قال في تقرير فني تمت مشاركته مع The Hacker News.
من المعتقد أن البرامج الضارة، المصممة بشكل أساسي لاستهداف أنظمة Windows، قد تم استخدامها لوحدات تحكم ENCO مع منفذ TCP 502 المعرض للإنترنت. ولم يتم ربطه بأي جهة تهديد أو مجموعة أنشطة تم تحديدها مسبقًا.
يأتي FrostyGoop مزودًا بقدرات القراءة والكتابة على جهاز ICS الذي يحمل سجلات تحتوي على المدخلات والمخرجات وبيانات التكوين. كما أنه يقبل وسيطات تنفيذ سطر الأوامر الاختيارية، ويستخدم ملفات التكوين بتنسيق JSON لتحديد عناوين IP المستهدفة وأوامر Modbus، ويسجل الإخراج إلى وحدة التحكم و/أو ملف JSON.
ويقال إن الحادث الذي استهدف شركة الطاقة بالمنطقة البلدية قد أدى إلى فقدان خدمات التدفئة لأكثر من 600 مبنى سكني لمدة 48 ساعة تقريبًا.
وقال الباحثون في مؤتمر عبر الهاتف: “أرسل الخصوم أوامر Modbus إلى وحدات تحكم ENCO، مما تسبب في قياسات غير دقيقة وأعطال في النظام”، مشيرين إلى أنه من المحتمل أن يكون الوصول الأولي قد تم الحصول عليه من خلال استغلال ثغرة أمنية في أجهزة توجيه Mikrotik في أبريل 2023.
“أرسل الخصوم أوامر Modbus إلى وحدات تحكم ENCO، مما تسبب في قياسات غير دقيقة وأعطال في النظام. واستغرق الإصلاح يومين تقريبًا.”
على الرغم من أن FrostyGoop يستخدم بروتوكول Modbus على نطاق واسع لاتصالات العميل/الخادم، إلا أنه ليس الوحيد. في عام 2022، قام Dragos وMandiant بتفصيل برنامج ضار آخر لـ ICS يسمى PIPEDREAM (المعروف أيضًا باسم INCONTROLLER) والذي استفاد من بروتوكولات الشبكات الصناعية المختلفة مثل OPC UA وModbus وCODESYS للتفاعل.
إنها أيضًا البرمجيات الخبيثة التاسعة التي تركز على ICS بعد Stuxnet وHavex وIndustroyer (المعروف أيضًا باسم CrashOverride) وTriton (المعروف أيضًا باسم Trisis) وBlackEnergy2 وIndustroyer2 وCOSMICENERGY.
وقال دراجوس إن قدرة البرمجيات الخبيثة على قراءة أو تعديل البيانات الموجودة على أجهزة ICS التي تستخدم Modbus لها عواقب وخيمة على العمليات الصناعية والسلامة العامة، مضيفًا أن أكثر من 46000 جهاز ICS معرض للإنترنت تتواصل عبر البروتوكول المستخدم على نطاق واسع.
وقال الباحثون: “إن الاستهداف المحدد لـ ICS باستخدام Modbus TCP عبر المنفذ 502 وإمكانية التفاعل المباشر مع أجهزة ICS المختلفة يشكل تهديدًا خطيرًا للبنية التحتية الحيوية عبر قطاعات متعددة”.
“يجب على المؤسسات إعطاء الأولوية لتنفيذ أطر الأمن السيبراني الشاملة لحماية البنية التحتية الحيوية من التهديدات المماثلة في المستقبل.”
إرسال التعليق