Kritik Altyapıyı Hedefleyen Yeni ICS Kötü Amaçlı Yazılım 'FrostyGoop'

Endüstriyel siber güvenlik firması Dragos, kötü amaçlı yazılımı FrostyGoop olarak adlandırdı ve bunu, operasyonel teknoloji (OT) ağlarını sabote etmek için Modbus TCP iletişimini doğrudan kullanan ilk kötü amaçlı yazılım türü olarak tanımladı. Şirket tarafından Nisan 2024'te keşfedildi.

Araştırmacılar Kyle O'Meara, Magpie (Mark) Graham ve Carolyn Ahlers, paylaşılan teknik bir raporda, "FrostyGoop, Golang'da yazılmış, 502 numaralı bağlantı noktası üzerinden Modbus TCP kullanarak Endüstriyel Kontrol Sistemleri (ICS) ile doğrudan etkileşime girebilen, ICS'ye özgü bir kötü amaçlı yazılımdır" dedi.

Esas olarak Windows sistemlerini hedef almak için tasarlanan kötü amaçlı yazılımın, internete maruz kalan TCP bağlantı noktası 502 olan ENCO denetleyicilerini hedeflemek için kullanıldığına inanılıyor. Daha önce tanımlanmış herhangi bir tehdit aktörüne veya etkinlik kümesine bağlı değildir.

FrostyGoop, girişleri, çıkışları ve yapılandırma verilerini içeren kayıtları tutan bir ICS cihazına okuma ve yazma yetenekleriyle birlikte gelir. Ayrıca isteğe bağlı komut satırı yürütme bağımsız değişkenlerini kabul eder, hedef IP adreslerini ve Modbus komutlarını belirtmek için JSON biçimli yapılandırma dosyalarını kullanır ve çıktıyı bir konsola ve/veya bir JSON dosyasına kaydeder.

Belediye enerji şirketini hedef alan olayın, yaklaşık 48 saat boyunca 600'den fazla apartmanda ısıtma hizmetlerinin kaybedilmesine neden olduğu söyleniyor.

Araştırmacılar bir konferans görüşmesinde, "Saldırganlar ENCO kontrolörlerine Modbus komutları göndererek yanlış ölçümlere ve sistem arızalarına neden oldu" dedi ve ilk erişimin muhtemelen Nisan 2023'te halka açık bir Mikrotik yönlendiricideki bilinmeyen bir güvenlik açığından yararlanarak elde edildiğini belirtti.

"Düşmanlar, ENCO kontrolörlerine Modbus komutları göndererek yanlış ölçümlere ve sistem arızalarına neden oldu. İyileştirme neredeyse iki gün sürdü."

FrostyGoop, istemci/sunucu iletişimi için Modbus protokolünü yaygın olarak kullanıyor olsa da, tek protokol olmaktan çok uzaktır. Nisan 2022'de Dragos ve Mandiant, etkileşim için OPC UA, Modbus ve CODESYS gibi çeşitli endüstriyel ağ protokollerinden yararlanan PIPEDREAM (diğer adıyla INCONTROLLER) adlı başka bir ICS kötü amaçlı yazılımını ayrıntılı olarak açıkladı.

Aynı zamanda Stuxnet, Havex, Industroyer (diğer adıyla CrashOverride), Triton (diğer adıyla Trisis), BlackEnergy2, Industroyer2 ve COSMICENERGY'den sonra vahşi doğada keşfedilen dokuzuncu ICS odaklı kötü amaçlı yazılımdır.

Kötü amaçlı yazılımın Modbus kullanarak ICS cihazlarındaki verileri okuma veya değiştirme yeteneğinin endüstriyel operasyonlar ve kamu güvenliği için ciddi sonuçları olduğunu söyleyen Dragos, 46.000'den fazla internete maruz kalan ICS cihazının yaygın olarak kullanılan protokol üzerinden iletişim kurduğunu da sözlerine ekledi.

Araştırmacılar, "502 numaralı bağlantı noktası üzerinden Modbus TCP kullanarak ICS'nin özel olarak hedeflenmesi ve çeşitli ICS cihazlarıyla doğrudan etkileşime girme potansiyeli, birden fazla sektördeki kritik altyapı için ciddi bir tehdit oluşturuyor" dedi.

"Kuruluşlar, kritik altyapıyı gelecekte benzer tehditlerden korumak için kapsamlı siber güvenlik çerçevelerinin uygulanmasına öncelik vermelidir."

Son Bilgi

Ukrayna Güvenlik Servisi (SBU) o zamandan beri Recorded Future News'e siber saldırının Lviv merkezli enerji tesisi Lvivteploenerg'in altyapısını tehlikeye attığını doğruladı.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği