FrostyGoop
惡意軟體已成為現代衝突中的核心工具,通常是在不直接實際參與的情況下造成重大破壞的方法。近年來,針對關鍵基礎設施的網路攻擊凸顯了強而有力的網路安全措施防範此類威脅的重要性。
目錄
FrostyGoop 簡介
1 月份,針對廣泛使用的 Modbus 工業通訊協議的惡意軟體在烏克蘭造成了重大破壞,導致 600 多棟公寓大樓兩天失去熱量。這種惡意軟體被研究人員命名為 FrostyGoop,它利用 Modbus 協定使攻擊者能夠破壞工業控制系統 (ICS)。
發現與歸因
烏克蘭安全局下屬的網路安全狀況中心 (CSSC) 提供了關鍵訊息,幫助資安專家確定 FrostyGoop 應對此次中斷負責。儘管已識別出該惡意軟體,但其創建者仍然未知,也沒有具體的威脅行為者歸因於其開發。未知的創建者正在透過標識符 TAT2024-24 進行追踪,這將 FrostyGoop 標記為用於攻擊或破壞的第九個以 ICS 為重點的惡意軟體。
技術細節和影響
FrostyGoop 被認為是第一個針對 ICS 的惡意軟體,它利用 Modbus 協定對操作技術 (OT) 造成物理破壞。儘管該惡意軟體並不是特別複雜,但它針對關鍵基礎設施的能力凸顯了攻擊者越來越關注曾經晦澀難懂的系統和協議,這些系統和協議對於電力和水等公用事業的運行至關重要。
攻擊向量和執行
在攻擊發生前大約十個月,攻擊者最初利用 Microtik 路由器中的漏洞破壞了市政能源供應商的網路。在接下來的幾個月裡,他們進行了各種準備活動,包括取得使用者憑證。事件發生前幾個小時,偵測到來自莫斯科 IP 位址的連接,表示攻擊者存在於網路中。
網路攻擊的更廣泛背景
FrostyGoop 攻擊恰逢烏克蘭發生大規模網路攻擊,影響了多個關鍵實體,包括該國最大的石油和天然氣公司及其國家郵政服務。這種協調一致的努力顯示了一種心理策略,利用網路手段取代傳統的動能行動,來破壞穩定和打擊民眾士氣。
比較和意義
雖然 FrostyGoop 與 Pipedream 等其他複雜工具相比相對簡單,但其造成破壞的有效性表明,即使是低成本的攻擊也可能對工業系統產生重大影響。與複雜性類似 Cobalt Strike 的 Pipedream 不同,FrostyGoop 的簡單性並沒有減少其危險性。
歷史先例
唯一已知的對烏克蘭關鍵基礎設施產生如此影響的駭客組織是 Sandworm,該組織與俄羅斯主要情報局有關。 Sandworm 多次針對烏克蘭電網發動攻擊,最近一次是在 2022 年 10 月。
安全保護措施
為了防止 FrostyGoop 等惡意軟體感染,使用者和組織應實施全面的網路安全措施:
- 定期系統更新:確保所有軟體(包括 ICS 系統)均已安裝最新的安全性修補程式。
- 網路分段:將關鍵 ICS 網路與一般 IT 網路隔離,以限制惡意軟體的傳播。
- 漏洞管理:定期進行安全評估並及時解決發現的漏洞。
- 強式身分驗證:使用多重身分驗證 (MFA) 來保護敏感系統的存取。
- 入侵偵測系統 (IDS) :部署 IDS 來監視網路流量以發現可疑活動的跡象。
- 使用者培訓:教育員工網路安全的重要性以及與網路釣魚和其他社會工程攻擊相關的風險。
結論
FrostyGoop 等惡意軟體的出現凸顯了對保護工業控制系統保持警惕和強大的網路安全實踐的迫切需求。透過了解威脅並實施有效的安全措施,使用者可以更好地保護其基礎設施免受可能造成廣泛破壞的網路攻擊。
