FrostyGoop bedroht ICS Diese Malware steckt hinter dem Heizungsausfall in der Ukraine

Anbieter zum Thema

Fsas Technologies GmbH

Cyberkriminelle haben im Januar 2024 zahlreiche Heizungen in der Ukraine lahmgelegt. Dafür nutzten sie Modbus TCP aus, mit dem weltweit über 46.000 internetfähige ICS-Geräte kommunizieren.

Im Januar 2024 musste einige Bewohner der ukrainischen Stadt Lwiw zwei Tage lang im Kalten ausharren. Und das bei Tiefsttemperaturen von -6,3 Grad. Aufgrund eines Cyberangriffs auf einen städtischen Energieversorger waren die Heizungen ausgefallen.

Wie die OT-Cybersicherheitsexperten von Dragos herausgefunden haben, war daran eine neue, auf ICS spezialisierte Malware namens „FrostyGoop“ schuld.

Forescout Global Threat Roundup Report 2023

Cyberangriffe überziehen die globale kritische Infrastruktur

Hacker setzen Modbus für Angriffe ein

FrostyGoop nutzt das Modbus-TCP-Protokoll, was bedeutet, dass sie zahlreiche Geräte betreffen könnte. Eine forensische Untersuchung zeigte, dass die Angreifer Modbus-Befehle von fremden Hosts aus direkt an die Steuerungsgeräte des Heizungssystems sendeten, was durch fest kodierte Netzwerkrouten erleichtert wurde.

Modbus ist ein hardwareunabhängiges Client/Server-Kommunikationsprotokoll, das 1979 ursprünglich für speicherprogrammierbare Steuerungen von Modicon entwickelt wurde, inzwischen aber auch von anderen Geräten verwendet wird. Das Protokoll beschreibt die Geräteadresse der einzelnen Steuergeräte und lässt sie die für sie bestimmte Nachrichten erkennen und Daten oder zusätzliche Informationen aus den Nachrichten extrahieren. Das Steuergerät erstellt und übermittelt die Antwortnachricht, wenn eine Antwort erforderlich ist, und entscheidet dann über die erforderlichen Maßnahmen.

Bei der Untersuchung des Angriffs wurde festgestellt, dass sich die Angreifer möglicherweise schon Monate zuvor Zugang zum Netzwerk verschafft hatten, indem sie eine nicht näher spezifizierte Sicherheitslücke in einem nach außen gerichtetem Router ausnutzten. Dragos entdeckte die Malware erstmals im April 2024. Die Angreifer setzten die Firmware der Steuergeräte zurück und installierten eine Version ohne Überwachungsfunktionen, was zum Verlust der Sichtbarkeit führte. Die Angreifer haben dabei nicht versucht, die Steuergeräte zu zerstören. Stattdessen sorgten sie dafür, dass die Steuergeräte falsche Messwerte meldeten, was zu einem fehlerhaften Betrieb des Systems und zum Heizungsausfall bei den Kunden führte.

Was bedeutet dieser Vorfall für die OT-Cybersicherheit?

Die Entdeckung der ICS-Malware FrostyGoop und ihrer Fähigkeiten weckt erhebliche Bedenken hinsichtlich der breiteren Auswirkungen auf die OT-Cybersicherheit. Das gezielte Anvisieren von ICS mit Modbus TCP über Port 502 und die Fähigkeit, direkt auf verschiedene ICS-Geräte zuzugreifen, stellen eine ernsthafte Bedrohung für kritische Infrastrukturen in verschiedenen Sektoren dar.

Die Ergebnisse von Dragos deuten darauf hin, dass FrostyGoop weitreichend eingesetzt werden kann. Modbus ist in alten und modernen Systemen und in fast allen Industriesektoren eingebettet, was auf ein breites Potenzial zur Störung und Beeinträchtigung wichtiger Dienste und Systeme hinweist.

Problematisch sei vor allem die Fähigkeit von FrostyGoop, über das Modbus-TCP-Protokoll mit ICS-Geräten zu kommunizieren und Befehle zu senden, um Daten auf diesen Geräten zu lesen oder zu ändern. Dadurch entstehe ein erhebliches Risiko für die Integrität und Funktionalität von ICS-Geräten, mit potenziell weitreichenden Folgen für den industriellen Betrieb und die öffentliche Sicherheit.

TXOne Networks Cybersecurity Report 2021

Mehr Schwachstellen in ICS-Umgebungen

KRITIS-Betreiber müssen reagieren

Der Angriff macht deutlich, wie wichtig grundlegende Cybersicherheitskontrollen sind. Die Tatsache, dass internetfähige Steuerungen und eine unzureichende Netzwerksegmentierung in den Angriff involviert waren, macht deutlich, wie groß die Risiken ohne diese Kontrollen sind. Derzeit kommunizieren weltweit über 46.000 internetfähige ICS-Geräte über Modbus TCP.

Dragos mahnt, dass Betreiber von kritischen Infrastrukturen angesichts dieser Entwicklungen den Schutz ihrer ICS-Netzwerke bewerten und priorisieren müssen. Dazu gehöre die Einschränkung des Zugriffs auf Modbus-Geräte und die Durchführung gründlicher Netzwerkanalysen, um sicherzustellen, dass sie nicht über das öffentliche Netzwerk zugänglich sind. Eine sorgfältige Überwachung der Netzwerksicherheit, proaktive Verteidigungsmaßnahmen und ein gemeinsamer Informationsaustausch seien entscheidend, um die weitreichenden Auswirkungen von ICS-spezifischer Malware und anderen Bedrohungen einzudämmen.

Interview zum IT-Sicherheitsgesetz

Was KRITIS-Betreiber beachten und dem BSI melden müssen

(ID:50207110)