- 13,858
- 20
- 8 Ноя 2022
Промышленная инфраструктура оказалось под ударом нового поколения киберугроз.
Исследователи из команды Unit42 Для просмотра ссылки Войдиили Зарегистрируйся новое вредоносное ПО FrostyGoop, нацеленное на устройства систем управления промышленным оборудованием ( ICS ). Зловред использует протокол Modbus TCP для проведения атак на критическую инфраструктуру, включая объекты на Украине и в Румынии. Более того, вредонос даже способен наносить физический ущерб.
FrostyGoop впервые был замечен в октябре 2023 года. Вредоносное ПО эксплуатирует уязвимые Telnet-порты устройств ENCO и устаревшие маршрутизаторы TP-Link WR740N, что делает системы особенно уязвимыми для атак. Главная цель — доступ к устройствам и выполнение команд Modbus.
Особенностью FrostyGoop является использование уникальной конфигурации JSON и библиотеки Goccy’s go-json, что облегчает анализ его работы. Исследователи также нашли исполняемый файл «go-encrypt.exe», который шифрует JSON-файлы с помощью AES-CFB. Это может указывать на попытку злоумышленников скрыть чувствительные данные.
Вредоносное ПО активно использует Modbus TCP для взаимодействия с устройствами через порт 502. Зловредные команды включают чтение и запись регистров с помощью кодов функций 3, 6 и 16, что позволяет злоумышленникам управлять скомпрометированными устройствами.
Эксперты подчёркивают, что подобные атаки выявляют критические уязвимости в устаревшей инфраструктуре и подчёркивают необходимость в усилении защиты промышленных систем. С ростом интеграции IT и OT сетей появляются новые векторы атак, что делает угрозы от вредоносных программ, подобных FrostyGoop, ещё более значимыми.
Атаки на критическую инфраструктуру в таких странах, как Украина, Румыния и США, подтверждают актуальность проблемы. Эксперты из Palo Alto Networks подчёркивают, что защита устаревших систем — ключевой элемент безопасности.
Исследователи из команды Unit42 Для просмотра ссылки Войди
FrostyGoop впервые был замечен в октябре 2023 года. Вредоносное ПО эксплуатирует уязвимые Telnet-порты устройств ENCO и устаревшие маршрутизаторы TP-Link WR740N, что делает системы особенно уязвимыми для атак. Главная цель — доступ к устройствам и выполнение команд Modbus.
Особенностью FrostyGoop является использование уникальной конфигурации JSON и библиотеки Goccy’s go-json, что облегчает анализ его работы. Исследователи также нашли исполняемый файл «go-encrypt.exe», который шифрует JSON-файлы с помощью AES-CFB. Это может указывать на попытку злоумышленников скрыть чувствительные данные.
Вредоносное ПО активно использует Modbus TCP для взаимодействия с устройствами через порт 502. Зловредные команды включают чтение и запись регистров с помощью кодов функций 3, 6 и 16, что позволяет злоумышленникам управлять скомпрометированными устройствами.
Эксперты подчёркивают, что подобные атаки выявляют критические уязвимости в устаревшей инфраструктуре и подчёркивают необходимость в усилении защиты промышленных систем. С ростом интеграции IT и OT сетей появляются новые векторы атак, что делает угрозы от вредоносных программ, подобных FrostyGoop, ещё более значимыми.
Атаки на критическую инфраструктуру в таких странах, как Украина, Румыния и США, подтверждают актуальность проблемы. Эксперты из Palo Alto Networks подчёркивают, что защита устаревших систем — ключевой элемент безопасности.
- Источник новости
- www.securitylab.ru
