Le fournisseur de cybersécurité Dragos a dévoilé mardi FrostyGoop, un malware spécifique aux systèmes de contrôle industriel qui peut perturber les cibles d’infrastructures critiques dans plusieurs secteurs.
Dragos, qui a découvert le malware en avril, a déclaré que FrostyGoop était le neuvième malware UTILISANT des systèmes de contrôle industriel (ICS) qu’il a suivi. Plus important encore, FrostyGoop est le premier à avoir un impact sur la technologie opérationnelle (OT) via Modbus, un protocole de communication client/serveur ICS standard utilisé dans la technologie industrielle. Les chercheurs de Dragos ont déclaré dans un article de blog de recherche que le malware ICS peut affecter les systèmes Windows anciens et modernes et que sa « capacité à communiquer avec les appareils ICS via Modbus TCP menace les infrastructures critiques dans plusieurs secteurs ».
L’étude a fourni un exemple d’attaque infligée à une entreprise énergétique ukrainienne.
“Le Centre de situation de cybersécurité (CSSC), qui fait partie du Service de sécurité de l’Ukraine (Служба безпеки України), a partagé avec Dragos les détails d’une cyberattaque survenue en janvier 2024. En fin de soirée du 22 janvier 2024, via Le 23 janvier, des adversaires ont mené une attaque perturbatrice contre une entreprise municipale d’énergie de district à Lviv, en Ukraine”, peut-on lire sur le blog de recherche. “Au moment de l’attaque, cette installation alimentait plus de 600 immeubles d’habitation dans la région métropolitaine de Lviv, approvisionnant ainsi les clients en chauffage central. La réparation de l’incident a duré près de deux jours, pendant lesquels la population civile a dû supporter des températures inférieures à zéro. “
Bien que l’attaque ait apparemment exploité une vulnérabilité indéterminée ciblant les routeurs MikroTik, Dragos a estimé que FrostyGoop avait également été utilisé dans l’attaque.
Bien que Dragos n’ait pas attribué FrostyGoop à un groupe ou à une nation menaçante spécifique, l’Ukraine a été envahie par la Russie au début de 2022 et est depuis lors engagée dans un conflit militaire permanent avec le pays. Dans le cadre du conflit, des groupes menaçant des États-nations russes ont lancé plusieurs cyberattaques contre les infrastructures critiques de l’Ukraine.
Le malware FrostyGoop utilise le protocole Modbus pour lire et écrire sur un périphérique ICS cible, permettant ainsi aux attaquants de perturber les installations infectées. FrostyGoop “accepte les arguments d’exécution de ligne de commande facultatifs, utilise des fichiers de configuration distincts pour spécifier les adresses IP cibles et les commandes Modbus, et enregistre la sortie sur une console et/ou un fichier JSON.” Les chercheurs ont déclaré que les fournisseurs d’antivirus ne détectent pas FrostyGoop comme un malware.
“Au moment de la découverte, Dragos a estimé avec une faible confiance que le malware FrostyGoop ICS découvert avait été utilisé à des fins de test. Cependant, cette évaluation a changé lorsqu’une attaque a été confirmée”, indique le rapport. “Dragos a découvert un fichier de configuration associé contenant plusieurs commandes Modbus pour lire les données d’un appareil ICS cible et une adresse IP appartenant à un appareil de contrôle ENCO. Dragos a évalué avec une confiance modérée que FrostyGoop peut avoir un impact sur d’autres appareils communiquant via Modbus TCP ; la fonctionnalité du malware est non spécifique aux appareils de contrôle ENCO.”
Selon les recherches de Dragos, le malware ICS n’exploite pas de vulnérabilité spécifique dans Modbus et abuse simplement du protocole à des fins malveillantes. De plus amples détails techniques sont disponibles dans le billet de blog.
Lors d’un point de presse la semaine dernière, Mark Graham, directeur technique principal des chasseurs d’adversaires chez Dragos, a déclaré qu’il y avait eu une « énorme augmentation » des exploits OT développés par l’adversaire au cours des cinq dernières années. Il a ajouté : « Avec cette évolution vers le travail à domicile, nous voyons beaucoup plus d’environnements OT directement accessibles via l’Internet ouvert. »
Phil Tonkin, directeur technique de Dragos, a déclaré lors de l’appel que l’un des plus grands défis liés aux logiciels malveillants comme FroostyGoop était la prolificité de Modbus dans l’OT.
“Quand nous examinons cette capacité, il n’est pas vraiment surprenant que [Modbus is] enfin être militarisé. L’idée d’utiliser le protocole Modbus, sa simplicité et son omniprésence dans de multiples secteurs est bien connue depuis un certain temps”, a déclaré Tonkin. “Mais l’un des grands défis auxquels l’industrie est actuellement confrontée est ce manque de visibilité. De nombreuses industries utilisent encore ce protocole uniquement en raison de sa robustesse. Peu importe le nombre de fournisseurs différents avec lesquels vous travaillez. Le fait qu’il soit si courant signifie qu’il est très probable qu’il soit compatible d’un système à l’autre, quel que soit le nombre de fournisseurs différents avec lesquels vous exploitez votre réseau. »
Dragos a déclaré que sa plate-forme OT Watch avait été mise à jour pour détecter les indicateurs de compromission liés à FrostyGoop. La société a également recommandé aux organisations de surveiller leurs systèmes ICS et OT pour détecter tout accès non autorisé ou tout modèle de trafic Modbus inhabituel sur le port 502.
Alexander Culafi est rédacteur principal de nouvelles sur la sécurité de l’information et animateur de podcast pour TechTarget Editorial.