One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8544338 |
| Date de publication | 2024-07-25 20:14:43 (vue: 2024-07-25 20:19:37) |
| Titre | FrostyGoop malware attack cut off heat in Ukraine during winter |
| Texte | ## Instantané Le fournisseur de cybersécurité Dragos a identifié l'utilisation de FrostyGoop, un logiciel malveillant Windows lié aux groupes de menaces russes, dans une cyberattaque de janvier 2024 qui a perturbé le chauffage dans plus de 600 immeubles d'appartements à Lviv, en Ukraine.Le malware cible les systèmes de contrôle industriel (ICS) à l'aide du protocole Modbus TCP Communications. ## Description Les attaquants ont accédé initial au réseau de la victime près d'un an plus tôt en exploitant une vulnérabilité dans un routeur Mikrotik exposé à Internet.Ils ont maintenu l'accès à l'aide d'une volet en ligne, ont volé des informations d'identification des utilisateurs et ont finalement détourné les contrôleurs de systèmes de chauffage du district \\, rétrogradant leur firmware pour échapper à la détection. Parce que le réseau du fournisseur de victimes n'a pas été segmenté, les pirates ont pivoté pour compromettre le réseau interne et déployé le malware Frostygoop.FrostyGoop est des logiciels malveillants spécifiques aux ICS écrits dans Golang qui interagissent directement avec ICS à l'aide de Modbus TCP sur le port 502. Le malware a ensuite envoyé des commandes via le réseau Ethernet interne aux contrôleurs enco, que le fournisseur utilisait pour gérer les chaudières et les pompes de chauffage. Selon Dragos, l'incident est à noter car FrostyGoop est la première souche malveillante ICS axée sur l'abus du protocole Modbus, qui est l'un des protocoles ICS les plus populaires. ### Analyse supplémentaire Dragos n'a pas attribué l'attaque, mais d'autres chercheurs en cybersécurité rapportent que le TTPS correspond à l'activité de l'acteur de menace basé en Russie [Seashell Blizzard] (https://security.microsoft.com/intel-profiles/cf1e406a16835d56cf614430aea3962d7ed99f01eeeeeE3D9EE3048078288E5201BB) (aka Sandworm, APT44, Iridium).La Russie cible agressivement les infrastructures critiques ukrainiennes avec les deux CYberattaques et missiles.Par exemple, en avril, l'équipe d'intervention d'urgence informatique de l'Ukraine \\ (CER-UA) a indiqué que [Seashell Blizzard avait ciblé] (https://therecord.media/frostygoop-malware-ukraine-heat) près de 20 installations énergétiques dans les installations énergétiques de dansL'Ukraine au printemps, potentiellement pour amplifier l'impact des missiles russes intenses et des grèves de drones sur les infrastructures critiques. ## Recommandations Dragos recommande aux organisations de mettre en œuvre les 5 contrôles critiques SANS pour la cybersécurité OT de classe mondiale.Il s'agit notamment de la réponse aux incidents ICS, de l'architecture défendable, de la visibilité et de la surveillance du réseau ICS, de l'accès à distance sécurisé et de la gestion des vulnérabilités basée sur les risques.De plus, Dragos fournit les recommandations suivantes: 1. Réponse des incidents ICS Compte tenu de la complexité et de la nature ciblée de l'attaque de Frostygoop, un plan de réponse aux incidents robuste est crucial.Ce plan devrait intégrer des réponses spécialisées pour les environnements OT, car ces systèmes ont souvent des exigences de continuité opérationnelle qui remplacent les systèmes informatiques traditionnels.Pour FrostyGoop, qui interagit directement avec ICS via les commandes MODBUS, le plan de réponse doit inclure des procédures pour isoler rapidement les appareils affectés, analyser le trafic réseau pour les commandes MODBUS non autorisées et restaurer des opérations de système précises.La formation et les exercices réguliers spécifiques aux attaques MODBUS et ICS ciblées assureront également la préparation et la gestion efficace des incidents. 2. Architecture défendable Cette attaque met en évidence le manque de segmentation adéquate du réseau et la présence de contrôleurs exposés à Internet.Pour lutter contre les menaces comme FrostyGoop, une architecture défendable doit être mise en œuvre, en pri |
| Notes | ★★★ |
| Envoyé | Oui |
| Condensat | ### **© 2024 2024** 502 600 abusing access accessed according accurate active activity actor additional additionally address adequate adversaries affected against aggressively all almost also amplify analysis analyzing anomalies anomaly any apartment april apt44 architecture are assessments assets associated attack attackers attacks attribute audits authentication aware barriers based basis because been behavioral behaviors between blast bleeping bleepingcomputer blizzard boilers both buildings but case cert class com/intel com/news/security/frostygoop com/report/frostygoop combat commands communications compensating complexity components comprehensive compromise computer connected connections content continuity continuous control controllers controls copyright corporate could credentials critical crucial cut cyber cyberattack cyberattacks cybersecurity data defensible demilitarized deployed deploying description detect detection devices did direct directly disrupted distribution district dmzs downgrading dragos drills drone during earlier effective emergency enabling enco encrypt energy enforced enforcing enhance enhanced ensure ensuring environments especially essential establishing ethernet evade eventually evidence example exists exploit exploitable exploitation exploited exploiting exposed facilities factor feasible firmware first focused following from frostygoop furthermore gained given golang granted groups hackers had has have having heat heating highlights hijacked https://hub https://security https://therecord https://www ics identified identify impact impacting implement implemented implementing incident include includes incorporate industrial infrastructure initial intense interacts internal internet involve iridium isolating january lack like limit linked logged lviv maintained malware manage management match measures media/frostygoop mfa microsoft mikrotik missile missiles mitigate mitigating mitigation modbus monitored monitoring most multi must nature nearly need network networks not note off often one operational operations organizations other over part patches patterns permission physical pivoted plan platform points popular port potential potentially preparedness presence prevent prioritizing private privileges procedures profile profiles/cf1e406a16835d56cf614430aea3962d7ed99f01ee3d9ee3048078288e5201bb prohibited protections protocol protocols provider provides pumps quicker quickly radius recommendations recommendations: recommends references regular remote report reported reproduction requirements researchers reserved respond response responses restoring restrict restrictive review rights risk risks robust router russia russian safeguard sandworm sans seashell secure security segmentation segmented sent should significantly similar site snapshot solution specialized specific spread spring stole strain strict strictly strikes such supersede system systems tailored targeted targeting targets tcp team technology then thereof these threat threats toolset traditional traffic training transit ttps ukraine ukrainian unauthorized unusual use user using vendor victim virtual visibility vital vpns vulnerabilities vulnerability webshell when where which will windows winter winter/ without world would written year zones |
| Tags | Malware Vulnerability Threat Industrial |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.