ICS: Neue Bedrohung für Industrielle Steuerungssysteme

B2B Cyber Security ShortNews

Beitrag teilen

FrostyGoop, eine neue Malware-Variante, die auf industrielle Kontrollsysteme (ICS) spezialisiert ist, birgt neue Gefahren für kritische Infrastrukturen weltweit. Bereits im Januar 2024 in Lviv, Ukraine wurde die Malware für eine Attacke genutzt.

FrostyGoop wurde im April 2024 von den OT- Cybersicherheitsexperten Dragos identifiziert und ist die erste ICS-spezifische Malware, die die Modbus-TCP-Kommunikation nutzt, um operative Technologien (OT) direkt anzugreifen und zu manipulieren. Der komplette Report von Dragos zu FrostyGoop steht zum Download bereit.

Anzeige

Einzigartige Bedrohung durch FrostyGoop

FrostyGoop ist bisher die neunte ICS-spezifische Malware, die entdeckt wurde. Ihre Fähigkeit, über Modbus-TCP über den standardisierten Port 502 zu kommunizieren, der in vielen industriellen Systemen verwendet wird, zeichnet sie aus und macht sie besonders gefährlich. FrostyGoop kann zudem in den sogenannten „Holding Registers“ lesen und schreiben. Die Holding Registers enthalten wichtige Eingangs-, Ausgangs- und Konfigurationsdaten.

Die Malware wurde in der Programmiersprache Golang geschrieben und ist für Windows-Systeme kompiliert. Bei der Entdeckung wurde festgestellt, dass keine der gängigen Antivirenprogramme die Malware als schädlich identifizieren konnte, was ihre Erkennung und Bekämpfung durch herkömmliche IT-Cybersicherheitsprogramme
erheblich erschwert.

Angriff auf die Infrastruktur in Lviv

Die Möglichkeiten von FrostyGoop zeigten sich im Januar 2024 in in Lviv, Ukraine, als ein Cyberangriff eine städtische Energiegesellschaft lahmlegte. Bei diesem Angriff mitten im Winter wurden die Heizsysteme von über 600 Wohngebäuden außer Betrieb gesetzt, so dass die Bewohner der Kälte ausgesetzt waren. Der Angriff dauerte fast zwei Tage, bevor er vollständig behoben werden konnte.

Die Untersuchung ergab, dass die Angreifer möglicherweise über eine Sicherheitslücke in einem öffentlich zugänglichen Mikrotik-Router Zugang zum Netzwerk der Opfer erlangten. Nachdem sie in das Netzwerk eindrangen, nutzten sie eine Webshell, um einen Tunnel herzustellen und die Kontrolle über die Systemserver und die Heizsystemcontroller zu übernehmen. Die Angreifer manipulierten die ENCO-Controller, indem sie deren Firmware auf eine ältere Version herabstuften, was zu fehlerhaften Messungen und einer Fehlfunktion des Heizsystems führte.

Breitere Auswirkungen und Empfehlungen

FrostyGoop hat weitreichende Folgen auf die Cybersicherheit im OT-Bereich. Da das Modbus-Protokoll in vielen industriellen Umgebungen verwendet wird, könnten ähnliche Angriffe potenziell alle Industriebranchen betreffen. Deshalb ist es wichtig, dagegen Maßnahmen zu ergreifen. Die Netzwerktransparenz in ICS-Umgebungen muss erhöht werden, um Anomalien im Modbus-Datenverkehr zu erkennen und zu melden.

Mehr bei Dragos.com

 


Über Dragos

Die Dragos Platform bietet die effektivste industrielle Cybersicherheitstechnologie und gibt Kunden Einblick in ihre ICS/OT-Assets, Schwachstellen, Bedrohungen und Reaktionsmaßnahmen. Die Stärke der Dragos Platform liegt in unserer Fähigkeit, die branchenführende OT-Threat-Intelligence von Dragos und die Erkenntnisse des Dragos Services Teams in die Software zu integrieren. Unser Community-Defense-Ansatz bietet Ihnen Zugang zu den Erkenntnissen der größten Industrieorganisationen und somit auch die beste verfügbare Visibilität in die Bedrohungslandschaft.


 

Passende Artikel zum Thema

Hacker sehen KI als neuen Angriffsvektor

Eine neue Umfrage unter Hackern zeigt, dass KI nicht nur Hackern hilft, effizienter zu werden, sondern dass KI selbst „reif ➡ Weiterlesen

KI-gestützte Angriffe: Unternehmen sind ungeschützt

Eine aktuelle Studie hat ergeben, dass 40 Prozent der Unternehmen, die aktuell von KI-gestützten Angriffen betroffen sind, sich nicht ausreichend ➡ Weiterlesen

ePA – Elektronische Patientenakte mit Sicherheitslücken?

Am 15. Januar startete die Testphase der ePA - der elektronischen Patientenakte trotz vorliegender Berichte über mögliche Sicherheitslücken. Es ist ➡ Weiterlesen

FortiOS und FortiProxy: Angriffe auf Zero-Day-Schwachstelle

Das BSI hat bereits die zweithöchste Warnstufe Orange für die aktiv ausgenutzten Schwachstellen in FortiOS und FortiProxy ausgegeben. Die Zero-Day-Schwachstelle ➡ Weiterlesen

Sicherheitsrisiken durch Mitarbeiterverhalten

Eine neue Untersuchung zeigt, dass Unternehmen den Datenzugang von Arbeitnehmern nicht nur verwalten, sondern auch sichern müssen. Der Grund: Viele ➡ Weiterlesen

Amazon-S3-Datensätze einfach zurücksetzen

Mit der neuen Funktionalität Clumio Backtrack von Commvault können Unternehmen in Amazon Simple Storage Service (Amazon S3) gespeicherte Objekte oder ➡ Weiterlesen

BSI: Kritische 9.3 Schwachstelle in PaloAlto Networks Expedition

Das BSI warnt eindringlich vor einer kritischen Schwachstelle in Next-Generation-Firewall (NGFW)-Plattform PaloAlto Networks Expedition mit dem CVSS-Wert 9.3 von 10. ➡ Weiterlesen

Hochgefährliche Schwachstellen in Firefox und Thunderbird 

Mozilla hat am 7. Januar 2025 mehrere Sicherheitsupdates für Firefox und Thunderbird veröffentlicht, um Schwachstellen mit hoher Priorität zu beheben. ➡ Weiterlesen