Tìm kiếm
Liên kết website
Chính phủ
Tỉnh ủy, UBND tỉnh
Sở, Ban, Ngành
UBND Huyện, Thị xã, Thành phố
UBND phường, xã, thị trấn

Chung nhan Tin Nhiem Mang

FrostyGoop: Phần mềm độc hại ICS mới nhắm mục tiêu vào các cơ sở hạ tầng quan trọng
21/08/2024

Các nhà nghiên cứu an ninh mạng đã phát hiện phần mềm độc hại nhắm mục tiêu vào Hệ thống kiểm soát công nghiệp (ICS) được sử dụng trong một cuộc tấn công mạng nhắm vào một công ty năng lượng Lvivteploenerg ở thành phố Lviv của Ukraine vào đầu tháng 1/2024.

Công ty an ninh mạng công nghiệp Dragos (Hoa Kỳ) đặt tên cho phần mềm độc hại là FrostyGoop. FrostyGoop được mô tả là chủng phần mềm độc hại đầu tiên sử dụng trực tiếp thông tin liên lạc Modbus TCP để phá hoại mạng công nghệ vận hành (OT). FrostyGoop được công ty phát hiện vào tháng 4/2024.

FrostyGoop đi kèm với khả năng đọc và ghi vào thiết bị ICS chứa các thanh ghi chứa dữ liệu đầu vào, đầu ra và cấu hình. Nó cũng chấp nhận các đối số thực thi dòng lệnh tùy chọn, sử dụng các tệp cấu hình có định dạng JSON để chỉ định địa chỉ IP mục tiêu và các lệnh Modbus, đồng thời ghi nhật ký đầu ra vào bảng điều khiển và/hoặc tệp JSON.

Vụ tấn công nhắm vào công ty năng lượng thành phố Lviv của Ukraine được cho là đã khiến hơn 600 tòa nhà chung cư bị mất dịch vụ sưởi ấm trong gần 48 giờ.

Các nhà nghiên cứu cho biết: “Các tin tặc đã gửi lệnh Modbus tới bộ điều khiển ENCO, gây ra các phép đo không chính xác và trục trặc hệ thống”.

Mặc dù, FrostyGoop sử dụng rộng rãi giao thức Modbus để liên lạc với máy khách/máy chủ nhưng nó không phải là giao thức duy nhất. Vào tháng 4/2022, Dragos và Mandiant đã trình bày chi tiết về một phần mềm độc hại ICS khác có tên PIPEDREAM (còn gọi là INControlLER), lợi dụng nhiều giao thức mạng công nghiệp khác nhau như OPC UA, Modbus và CODESYS để tương tác.

FrostyGoop là phần mềm độc hại tập trung vào ICS được phát hiện ngoài thực tế sau Stuxnet, Havex, Industroyer (còn gọi là CrashOverride), Triton (còn gọi là Trisis), BlackEnergy2, Industroyer2 và COSMICENERGY.

Dragos cho biết khả năng đọc hoặc sửa đổi dữ liệu trên các thiết bị ICS sử dụng Modbus của phần mềm độc hại này gây ra hậu quả nghiêm trọng đối với hoạt động công nghiệp và an toàn công cộng, đồng thời bổ sung thêm hơn 46.000 thiết bị ICS tiếp xúc với internet giao tiếp qua giao thức được sử dụng rộng rãi.

Hà Phương

Nguồn: Tạp chí An toàn thông tin

       
Các tin khác
Xem tin theo ngày  
Thống kê truy cập
Tổng truy cập 11.325.859
Hiện tại 1.343 khách