FrostyGoop
Kenkėjiška programa tapo pagrindine šiuolaikinių konfliktų priemone, dažnai naudojama kaip būdas sukelti didelių trikdžių be tiesioginio fizinio įsitraukimo. Pastaraisiais metais kibernetinės atakos, nukreiptos į ypatingos svarbos infrastruktūrą, pabrėžė tvirtų kibernetinio saugumo priemonių svarbą siekiant apsisaugoti nuo tokių grėsmių.
Turinys
Įvadas į FrostyGoop
Sausio mėnesį kenkėjiška programa, nukreipta į plačiai naudojamą pramoninio ryšio protokolą Modbus, sukėlė didelį sutrikimą Ukrainoje, dėl kurio daugiau nei 600 daugiabučių namų dvi dienas neteko šilumos. Ši kenkėjiška programa, kurią mokslininkai pavadino FrostyGoop, naudoja Modbus protokolą, kad užpuolikai galėtų pažeisti pramoniniu būdu valdomas sistemas (ICS).
Atradimas ir priskyrimas
Kibernetinio saugumo situacijų centras (CSSC), priklausantis Ukrainos saugumo tarnybai, pateikė svarbios informacijos, kuri padėjo infosec ekspertams nustatyti, kad „FrostyGoop“ buvo atsakinga už gedimą. Nepaisant kenkėjiškos programos identifikavimo, jos kūrėjas lieka nežinomas, o jo kūrimui nebuvo priskirtas konkretus grėsmės veikėjas. Nežinomi kūrėjai yra sekami pagal identifikatorių TAT2024-24, pažymint FrostyGoop kaip devintą unikalią ICS nukreiptą kenkėjišką programą, naudojamą atakoms ar sutrikimams.
Techninė informacija ir poveikis
Manoma, kad „FrostyGoop“ yra pirmoji kenkėjiška programa, nukreipta į ICS, kuri naudoja „Modbus“ protokolą, kad sukeltų fizinius veikimo technologijos (OT) sutrikimus. Nors ir nėra itin sudėtinga, kenkėjiškų programų gebėjimas nukreipti kritinę infrastruktūrą pabrėžia vis didesnį užpuolikų dėmesį kažkada neaiškioms sistemoms ir protokolams, būtiniems tokioms komunalinėms paslaugoms kaip elektra ir vanduo.
Atakos vektorius ir vykdymas
Iš pradžių užpuolikai sukompromitavo savivaldybės energijos tiekėjo tinklus, likus maždaug dešimčiai mėnesių iki atakos, pasinaudodami Microtik maršrutizatoriaus pažeidžiamumu. Per kitus mėnesius jie atliko įvairias parengiamąsias veiklas, įskaitant vartotojo kredencialų gavimą. Likus kelioms valandoms iki incidento buvo aptikti ryšiai iš Maskvoje esančių IP adresų, rodančių užpuolikų buvimą tinkle.
Platesnis kibernetinių atakų kontekstas
„FrostyGoop“ ataka sutapo su didelio masto kibernetinė ataka Ukrainoje, kuri paveikė keletą pagrindinių subjektų, įskaitant didžiausią šalies naftos ir dujų įmonę bei jos nacionalinę pašto tarnybą. Šios koordinuotos pastangos siūlo psichologinę strategiją, skirtą destabilizuoti ir demoralizuoti gyventojus, naudojant kibernetines priemones, o ne tradicines kinetines operacijas.
Palyginimai ir reikšmė
Nors „FrostyGoop“ yra gana paprasta, palyginti su kitais sudėtingais įrankiais, tokiais kaip „Pipedream“, jos veiksmingumas sukeliant trikdžius rodo, kad net ir pigios atakos gali turėti didelį poveikį pramoninėms sistemoms. Skirtingai nuo Pipedream, kuris savo sudėtingumu yra panašus į Cobalt Strike, FrostyGoop paprastumas nesumažina jo pavojaus.
Istoriniai precedentai
Vienintelis kitas žinomas įsilaužimo padalinys, turėjęs tokį poveikį Ukrainos kritinei infrastruktūrai, yra su Rusijos pagrindiniu žvalgybos direktoratu susijusi grupė „Sandworm“. Sandworm ne kartą nusitaikė į Ukrainos elektros tinklą, paskutinį kartą 2022 m. spalio mėn. Šis kontekstas pabrėžia nuolatinę ir besikeičiančią grėsmę, su kuria susiduria Ukraina.
Apsaugos priemonės
Norėdami apsisaugoti nuo kenkėjiškų programų, tokių kaip „FrostyGoop“, vartotojai ir organizacijos turėtų įgyvendinti visapusiškas kibernetinio saugumo priemones:
- Reguliarūs sistemos naujinimai : įsitikinkite, kad visa programinė įranga, įskaitant ICS sistemas, yra atnaujinta su naujausiais saugos pataisomis.
- Tinklo segmentavimas : atskirkite svarbius ICS tinklus nuo bendrųjų IT tinklų, kad apribotumėte kenkėjiškų programų plitimą.
- Pažeidžiamumo valdymas : reguliariai atlikite saugumo vertinimus ir nedelsdami pašalinkite visas nustatytas spragas.
- Stiprus autentifikavimas : naudokite kelių veiksnių autentifikavimą (MFA), kad apsaugotumėte prieigą prie jautrių sistemų.
- Įsibrovimų aptikimo sistemos (IDS) : įdiekite IDS, kad stebėtumėte tinklo srautą, ar nėra įtartinos veiklos požymių.
- Naudotojų mokymas : mokykite darbuotojus apie kibernetinio saugumo svarbą ir riziką, susijusią su sukčiavimu ir kitomis socialinės inžinerijos atakomis.
Išvada
Kenkėjiškų programų, pvz., „FrostyGoop“, atsiradimas išryškina esminį budrumo ir tvirtos kibernetinio saugumo praktikos poreikį, siekiant apsaugoti pramonės valdymo sistemas. Suprasdami grėsmes ir įgyvendindami veiksmingas saugumo priemones, vartotojai gali geriau apsaugoti savo infrastruktūrą nuo kibernetinių atakų, kurios gali sukelti plataus masto sutrikimus.
