FrostyGoop
恶意软件已成为现代冲突的主要工具,通常是一种无需直接接触就能造成严重破坏的方法。近年来,针对关键基础设施的网络攻击凸显了采取强有力的网络安全措施来防范此类威胁的重要性。
目录
FrstyGoop 简介
今年 1 月,针对广泛使用的 Modbus 工业通信协议的恶意软件在乌克兰造成了重大破坏,导致 600 多栋公寓楼两天内停电。研究人员将这种恶意软件命名为 FrostyGoop,它利用 Modbus 协议使攻击者能够入侵工业控制系统 (ICS)。
发现和归因
乌克兰安全局下属的网络安全情况中心 (CSSC) 提供了关键信息,帮助信息安全专家确定 FrostyGoop 是此次中断的罪魁祸首。尽管已识别出恶意软件,但其创建者仍不明,并且没有特定的威胁行为者参与其开发。未知创建者被追踪为 TAT2024-24 标识符,标志着 FrostyGoop 成为用于攻击或破坏的第九个 ICS 恶意软件。
技术细节和影响
据信,FrostyGoop 是首个利用 Modbus 协议对运营技术 (OT) 造成物理中断的 ICS 恶意软件。尽管这款恶意软件并不复杂,但它能够攻击关键基础设施,这凸显出攻击者越来越关注曾经不为人知的系统和协议,而这些系统和协议对于电力和水务等公用事业的运行至关重要。
攻击向量和执行
大约在攻击发生前 10 个月,攻击者利用 Microtik 路由器的漏洞入侵了市政能源供应商的网络。在接下来的几个月里,他们进行了各种准备活动,包括获取用户凭证。在事件发生前几个小时,检测到来自莫斯科 IP 地址的连接,表明攻击者已进入网络。
网络攻击的更广泛背景
FrostyGoop 攻击与乌克兰的大规模网络攻击同时发生,此次攻击影响了乌克兰的多个重要实体,包括该国最大的石油和天然气公司以及国家邮政服务。这种协同行动表明,这是一种心理战略,旨在破坏民众稳定并挫败民众士气,利用网络手段代替传统的动能行动。
比较和意义
虽然与 Pipedream 等其他复杂工具相比,FrostyGoop 相对简单,但其破坏力十足,表明即使是低成本攻击也能对工业系统产生重大影响。与 Pipedream(其复杂性与 Cobalt Strike 相似)不同,FrostyGoop 的简单性并未降低其危险性。
历史先例
唯一已知的对乌克兰关键基础设施造成如此影响的黑客组织是 Sandworm,该组织与俄罗斯中央情报局有关联。Sandworm 曾多次针对乌克兰电网发动攻击,最近一次是在 2022 年 10 月。这一背景凸显了乌克兰面临的持续且不断变化的威胁形势。
安全保护措施
为了防止 FrostyGoop 等恶意软件感染,用户和组织应实施全面的网络安全措施:
- 定期系统更新:确保所有软件(包括 ICS 系统)都更新了最新的安全补丁。
- 网络分段:将关键 ICS 网络与一般 IT 网络隔离,以限制恶意软件的传播。
- 漏洞管理:定期进行安全评估并及时解决任何发现的漏洞。
- 强身份验证:使用多因素身份验证 (MFA) 来确保对敏感系统的访问安全。
- 入侵检测系统 (IDS) :部署 IDS 来监控网络流量以查找可疑活动的迹象。
- 用户培训:教育员工了解网络安全的重要性以及与网络钓鱼和其他社会工程攻击相关的风险。
结论
FrostyGoop 等恶意软件的出现凸显了对警惕性和强大的网络安全实践的迫切需求,以保护工业控制系统。通过了解威胁并实施有效的安全措施,用户可以更好地保护其基础设施免受可能造成广泛破坏的网络攻击。
