Los investigadores han vinculado un ataque de enero de 2024 que interrumpió los servicios de calefacción en unos 600 edificios de apartamentos en Lviv, Ucrania, en temperaturas bajo cero, con un nuevo y peligroso malware diseñado específicamente para atacar los sistemas de control industrial.
El malware, denominado FrostyGoop por los investigadores de Dragos que lo descubrieron, es el primer malware conocido que permite a actores maliciosos interactuar directamente con sistemas de tecnología operativa (OT) a través de Modbus, un protocolo de comunicaciones ampliamente utilizado en entornos ICS. Esto hace que FrostyGoop sea particularmente peligroso porque los adversarios pueden usarlo para atacar prácticamente cualquier sistema ICS que utilice Modbus para las comunicaciones. Dragos dijo en un informe Esta semana, el proveedor de seguridad dijo que pudo detectar unos 46.000 dispositivos ICS expuestos a Internet que actualmente se comunican a través del protocolo. FrostyGoop es sólo la novena herramienta de malware conocida diseñada específicamente para atacar entornos ICS.
“Modbus está integrado en sistemas modernos existentes y en casi todos los sectores industriales, lo que indica un potencial considerable de interrupción y compromiso de servicios y sistemas críticos”, dijo Dragos.[FrostyGoop] representa un riesgo significativo para la integridad y funcionalidad de los dispositivos ICS, con consecuencias potencialmente de gran alcance para las operaciones industriales y la seguridad pública.
Los investigadores de Dragos encontraron por primera vez los archivos binarios de FrostyGoop en abril de 2024 durante una clasificación rutinaria de archivos sospechosos en un cliente. Su análisis inicial sugirió que el malware aún estaba en la fase de prueba, pero rápidamente revisaron esa evaluación después de que el Centro de Situación de Ciberseguridad de Ucrania (CSSC) compartiera detalles con Dragos sobre el ataque de enero de 2024 contra un distrito de una compañía de energía en Lviv.
Agua caliente enfriada durante casi 48 horas.
FrostyGoop, escrito en Golang y compilado para Windows, permite a los atacantes interactuar directamente con ICS utilizando Modbus TCP en el puerto 502. Un atacante que implemente el malware puede acceder y manipular entradas, salidas y datos de configuración en los registros de almacenamiento del dispositivo ICS. Los registros de almacenamiento de dispositivos son un tipo específico de ubicación de almacenamiento de datos en sistemas industriales.
El malware también permite a un atacante enviar comandos no autorizados a los sistemas de las víctimas.
El ciberataque en Ucrania tuvo como objetivo los controladores del sistema de calefacción de la marca ENCO de una empresa que gestiona un servicio de distribución de agua caliente a los residentes de unos 600 apartamentos en Lviv. Los atacantes utilizaron FrostyGoop para enviar comandos Modbus a los controladores, lo que provocó mediciones inexactas y fallos de funcionamiento del sistema. Los socorristas tuvieron que trabajar casi dos días para corregir el problema.
“La carga útil cambió los valores de los controladores para hacerles creer que la temperatura del agua era más alta de lo que realmente era, por lo que no podía calentar el agua”, explicó Dragos CTO Magpie (Mark) Graham durante una conferencia telefónica. Como resultado, la empresa acabó bombeando agua fría a los apartamentos, explicó.
Dragos no pudo vincular al atacante con ningún actor o grupo de actividades previamente identificado. Pero el hecho de que el adversario haya utilizado medios cibernéticos para interrumpir el suministro de agua caliente, cuando un ataque cinético podría haber funcionado igual de bien, podría estar relacionado con el hecho de que las defensas de Ucrania ahora están en mejores condiciones de interceptar los ataques con misiles rusos, dijo.
La investigación de Dragos encontró que el ataque comenzó cuando actores maliciosos obtuvieron acceso por primera vez a la red de la compañía energética en abril de 2023 a través de una vulnerabilidad aún no determinada en un enrutador Microtek externo. Durante un período de seis días, entre el 20 y el 26 de abril de 2023, el atacante implementó un shell web en el entorno de la víctima que utilizó unos meses más tarde para extraer las credenciales de los usuarios. En enero de 2024, los atacantes establecieron una conexión entre el entorno comprometido y una dirección IP ubicada en Rusia.
Potencial de otros ciberataques
Debido a la falta de segmentación de la red dentro de la empresa de energía de Lviv, los atacantes pudieron utilizar su punto de apoyo inicial para moverse lateralmente a varios servidores de gestión en el entorno y, finalmente, a los controladores del sistema de la empresa de calefacción. Como parte de la cadena de ataque, los adversarios degradaron el firmware de los controladores a una versión no compatible con el sistema de monitoreo del sistema de la compañía energética desplegado en la instalación.
“Los adversarios no intentaron destruir a los controladores”, dijo Dragos. “En cambio, provocaron que los controladores informaran lecturas inexactas, lo que provocó un funcionamiento incorrecto del sistema y pérdida de calor para los clientes. »
Según Graham, es probable que antes del ataque de Lviv, los piratas informáticos utilizaran FrostyGoop para atacar otros controladores cuyos puertos Modbus estaban abiertos a Internet. En cualquier caso, no habría sido necesario comprometer la red para acceder a los dispositivos, afirmó. “Estos son dispositivos a los que usted y yo podemos acceder fácilmente desde Internet ahora mismo. »
Herramientas antimalware específicas de ICS puede ser difícil de contrarrestar. Pero, en general, los atacantes sólo los reservan para campañas muy específicas. Entre los programas maliciosos más conocidos de esta categoría se encuentra estuxnetque los atacantes utilizaron para degradar la planta iraní de enriquecimiento de uranio en Natanz, Industroyer/CrashOverrideque el grupo ruso Sandworm utilizó en ataques contra la red eléctrica ucraniana, y Havex, que apuntó a entornos SCADA e ICS en Europa.
Dragos recomienda que los entornos ICS implementen cinco prácticas básicas para proteger sus redes contra este malware: segmentación de la red para mitigar el daño, monitoreo continuo para una mejor visibilidad, acceso remoto seguro, gestión de vulnerabilidades basada en riesgos y sólidas capacidades de respuesta a incidentes.