FrostyGoop, une nouvelle variante de malware spécialisée dans les systèmes de contrôle industriel (ICS), constitue de nouvelles menaces pour les infrastructures critiques du monde entier. Le malware a été utilisé pour une attaque à Lviv, en Ukraine, en janvier 2024.
Identifié en avril 2024 par les experts en cybersécurité OT Dragos, FrostyGoop est le premier malware spécifique à ICS qui exploite les communications Modbus TCP pour attaquer et manipuler directement les technologies opérationnelles (OT). Le rapport complet de Dragos sur FrostyGoop est disponible en téléchargement.
Menace unique de FrostyGoop
FrostyGoop est le neuvième malware spécifique à ICS découvert jusqu'à présent. Leur capacité à communiquer via Modbus TCP sur le port standardisé 502, utilisé dans de nombreux systèmes industriels, les différencie et les rend particulièrement dangereux. FrostyGoop peut également lire et écrire dans ce que l'on appelle les « registres de maintien ». Les registres de maintien contiennent des données d'entrée, de sortie et de configuration importantes.
Le malware a été écrit dans le langage de programmation Golang et est compilé pour les systèmes Windows. Lors de leur découverte, il a été constaté qu'aucun des programmes antivirus populaires n'était capable d'identifier le logiciel malveillant comme étant malveillant, ce qui le rendait difficile à détecter et à combattre par les programmes de cybersécurité informatique traditionnels.
considérablement plus difficile.
Exposition
Abonnez-vous à la newsletter maintenant
Lisez les meilleures nouvelles de B2B CYBER SECURITY une fois par mois
Développer pour plus de détails sur votre consentement
Il va sans dire que nous traitons vos données personnelles de manière responsable. Si nous collectons des données personnelles auprès de vous, nous les traitons conformément aux réglementations applicables en matière de protection des données. Vous trouverez des informations détaillées dans notre
Déclaration de protection des données. Vous pouvez vous désinscrire de la newsletter à tout moment. Vous trouverez un lien correspondant dans la newsletter. Après votre désinscription, vos données seront supprimées dans les plus brefs délais. La récupération n'est pas possible. Si vous souhaitez recevoir à nouveau la newsletter, il vous suffit de la commander à nouveau. Faites de même si vous souhaitez utiliser une adresse e-mail différente pour votre newsletter. Si vous souhaitez recevoir la newsletter proposée sur le site, nous avons besoin d'une adresse e-mail de votre part ainsi que d'informations nous permettant de vérifier que vous êtes le propriétaire de l'adresse e-mail fournie et que vous acceptez de recevoir les bulletin. D'autres données ne sont pas collectées ou ne sont collectées que sur une base volontaire. Nous utilisons des fournisseurs de services de newsletter, qui sont décrits ci-dessous, pour traiter la newsletter.
CleverReach
Ce site Web utilise CleverReach pour envoyer des newsletters. Le fournisseur est CleverReach GmbH & Co. KG, Schafjückenweg 2, 26180 Rastede, Allemagne (ci-après « CleverReach »). CleverReach est un service permettant d'organiser et d'analyser l'envoi de newsletters. Les données que vous saisissez dans le but de vous abonner à la newsletter (par exemple l'adresse e-mail) seront stockées sur les serveurs de CleverReach en Allemagne ou en Irlande. Nos newsletters envoyées avec CleverReach nous permettent d'analyser le comportement des destinataires de la newsletter. Cela peut inclure Le nombre de destinataires qui ont ouvert le message de la newsletter et la fréquence à laquelle le lien de la newsletter a été cliqué sont analysés. À l'aide de ce que l'on appelle le suivi des conversions, il est également possible d'analyser si une action définie au préalable (par exemple, l'achat d'un produit sur ce site Web) a eu lieu après avoir cliqué sur le lien dans la newsletter. De plus amples informations sur l'analyse des données par la newsletter CleverReach sont disponibles sur :
https://www.cleverreach.com/de/funktionen/reporting-und-tracking/. Le traitement des données a lieu sur la base de votre consentement (art. 6 al. 1 lit. a DSGVO). Vous pouvez révoquer ce consentement à tout moment en vous désinscrivant de la newsletter. La légalité des opérations de traitement de données qui ont déjà eu lieu n'est pas affectée par la révocation. Si vous ne souhaitez pas une analyse par CleverReach, vous devez vous désinscrire de la newsletter. À cette fin, nous fournissons un lien correspondant dans chaque message de la newsletter. Les données que vous avez stockées chez nous dans le but de vous abonner à la newsletter seront stockées par nous ou par le fournisseur de service de newsletter jusqu'à ce que vous vous désabonniez de la newsletter et supprimées de la liste de distribution de la newsletter après que vous ayez annulé la newsletter. Les données que nous stockons à d'autres fins ne sont pas affectées. Une fois que vous avez été retiré de la liste de distribution de la newsletter, votre adresse e-mail peut être stockée par nous ou le fournisseur de services de newsletter dans une liste noire si cela est nécessaire pour empêcher de futurs envois. Les données de la liste noire ne seront utilisées qu'à cette fin et ne seront pas fusionnées avec d'autres données. Cela sert à la fois votre intérêt et notre intérêt à respecter les exigences légales lors de l'envoi de newsletters (intérêt légitime au sens de l'art. 6 al. 1 lit. f RGPD). Le stockage dans la liste noire n'est pas limité dans le temps.
Vous pouvez vous opposer au stockage si vos intérêts l'emportent sur nos intérêts légitimes.
Pour plus d'informations, voir la politique de confidentialité de CleverReach à l'adresse:
https://www.cleverreach.com/de/datenschutz/.
Le traitement des commandes
Nous avons conclu un contrat de traitement des commandes (AVV) pour l'utilisation du service susmentionné. Il s'agit d'un contrat requis par la loi sur la protection des données, qui garantit que les données personnelles des visiteurs de notre site Web ne sont traitées que conformément à nos instructions et dans le respect du RGPD.
Attaque contre les infrastructures à Lviv
Les capacités de FrostyGoop ont été démontrées en janvier 2024 à Lviv, en Ukraine, lorsqu'une cyberattaque a paralysé une entreprise énergétique municipale. Cette attaque en plein hiver a mis hors service les systèmes de chauffage de plus de 600 immeubles résidentiels, laissant les résidents exposés au froid. L’attaque a duré près de deux jours avant d’être complètement résolue.
L'enquête a révélé que les attaquants pourraient avoir accédé au réseau des victimes grâce à une faille de sécurité dans un routeur Mikrotik accessible au public. Après avoir pénétré le réseau, ils ont utilisé un webshell pour créer un tunnel et prendre le contrôle des serveurs du système et des contrôleurs du système de chauffage. Les attaquants ont manipulé les contrôleurs ENCO en rétrogradant leur micrologiciel vers une version plus ancienne, ce qui a entraîné des mesures incorrectes et un dysfonctionnement du système de chauffage.
Implications et recommandations plus larges
FrostyGoop a des implications considérables pour la cybersécurité dans le secteur OT. Le protocole Modbus étant utilisé dans de nombreux environnements industriels, des attaques similaires pourraient potentiellement affecter tous les secteurs industriels. C'est pourquoi il est important d'agir contre cela. La visibilité du réseau dans les environnements ICS doit être accrue pour détecter et signaler les anomalies dans le trafic Modbus.
Plus sur Dragos.com
À propos de Dragos
La plateforme Dragos offre la technologie de cybersécurité industrielle la plus efficace, offrant aux clients une visibilité sur leurs actifs ICS/OT, leurs vulnérabilités, leurs menaces et leurs efforts de réponse. La force de la plateforme Dragos réside dans notre capacité à intégrer dans le logiciel les renseignements de pointe sur les menaces OT de Dragos et les informations de l'équipe Dragos Services. Notre approche de défense communautaire vous donne accès aux informations des plus grandes organisations du secteur et donc à la meilleure visibilité disponible sur le paysage des menaces.
Articles liés au sujet
