FrostyGoop bedroht Industrielle Steuerungssysteme

Die erst im April 2024 von den OT- Cybersicherheitsexperten Dragos identifizierte FrostyGroup ist bisher die neunte ICS-spezifische Malware. Ihre Fähigkeit, über Modbus-TCP über den standardisierten Port 502 zu kommunizieren macht sie besonders gefährlich. FrostyGoop kann zudem in den sogenannten „Holding Registers“ lesen und schreiben. Die Holding Registers enthalten wichtige Eingangs-, Ausgangs- und Konfigurationsdaten.

Die Malware wurde in der Programmiersprache Golang geschrieben und ist für Windows-Systeme kompiliert. Bei der Entdeckung wurde festgestellt, dass keine der gängigen Antivirenprogramme die Malware als schädlich identifizieren konnte, was ihre Erkennung und Bekämpfung durch herkömmliche IT-Cybersicherheitsprogramme erheblich erschwert.

Angriff auf die Infrastruktur in Lviv

Die Möglichkeiten von FrostyGoop zeigten sich im Januar 2024 in in Lviv, Ukraine, als ein Cyberangriff eine städtische Energiegesellschaft lahmlegte. Bei diesem Angriff mitten im Winter wurden die Heizsysteme von über 600 Wohngebäuden außer Betrieb gesetzt, so dass die Bewohner der Kälte ausgesetzt waren. Der Angriff dauerte fast zwei Tage, bevor er vollständig behoben werden konnte.

Die Untersuchung ergab, dass die Angreifer möglicherweise über eine Sicherheitslücke in einem öffentlich zugänglichen Mikrotik-Router Zugang zum Netzwerk der Opfer erlangten. Nachdem sie in das Netzwerk eindrangen, nutzten sie eine Webshell, um einen Tunnel herzustellen und die Kontrolle über die Systemserver und die Heizsystemcontroller zu übernehmen. Die Angreifer manipulierten die ENCO-Controller, indem sie deren Firmware auf eine ältere Version herabstuften, was zu fehlerhaften Messungen und einer Fehlfunktion des Heizsystems führte.

Angriffe betreffen potenziell alle Industriebranchen

FrostyGoop hat weitreichende Folgen auf die Cybersicherheit im OT-Bereich. Da das Modbus-Protokoll in vielen industriellen Umgebungen verwendet wird, könnten ähnliche Angriffe potenziell alle Industriebranchen betreffen. Deshalb ist es wichtig, dagegen Maßnahmen zu ergreifen. Die Netzwerktransparenz in ICS-Umgebungen muss erhöht werden, um Anomalien im Modbus-Datenverkehr zu erkennen und zu melden.

Der komplette Report von Dragos zu FrostyGoop steht zum Download bereit.

Roger Homrich

Recent Posts

NIS2: EU leitet Vertragsverletzungsverfahren gegen Deutschland ein

Es geht auch um die Umsetzung der Richtlinie über die Resilienz kritischer Einrichtungen. Auch mehr…

28 Minuten ago

KI-Reife der Unternehmen in Deutschland sinkt leicht

Cisco „KI-Readiness“-Studie zeigt: Nur noch 6 Prozent der Unternehmen sind optimal auf KI vorbereitet, gegenüber…

2 Stunden ago

Big Blue kündigt Zusammenarbeit mit AMD an

IBM Cloud setzt AMD Instinct MI300X Accelerators ein, um generative KI-Workloads und HPC-Anwendungen zu unterstützen.

3 Tagen ago

Jeder zweite vereinbart Arzttermine online

Ein Viertel der Deutschen wählt Arztpraxen sogar ganz gezielt danach aus, ob sie Internettermine anbieten.

4 Tagen ago

Siemens spendiert neuen Rechnern NVIDIA-Chips

Der Technologiekonzern hat Industrie-PCs angekündigt, die mit Grafikprozessoren von NVIDIA ausgestattet sein werden.

4 Tagen ago

Bundesbürger misstrauen KI-generierten Ergebnissen

ChatGPT, Google Gemini, MidJourney oder Anthropic Claude: Gut jeder zweite Bundesbürger hat generative KI bereits…

5 Tagen ago