网络安全研究人员发现了他们所说的第九种以工业控制系统 （ICS） 为重点的恶意软件，该恶意软件已被用于今年 1 月初针对乌克兰利沃夫市一家能源公司的破坏性网络攻击。

工业网络安全公司 Dragos 将该恶意软件称为 FrostyGoop，称其为第一个直接使用 Modbus TCP 通信破坏运营技术 （OT） 网络的恶意软件。该公司于 2024 年 4 月发现了它。

“FrostyGoop 是一种用 Golang 编写的特定于 ICS 的恶意软件，可以通过端口 502 使用 Modbus TCP 直接与工业控制系统 （ICS） 交互，”研究人员 Kyle O’Meara、Magpie （Mark） Graham 和 Carolyn Ahlers 在与 The Hacker News 分享的一份技术报告中说。

据信，该恶意软件主要针对 Windows 系统而设计，已被用于针对 TCP 端口 502 暴露在互联网上的 ENCO 控制器。它未与任何先前确定的威胁参与者或活动集群相关联。

FrostyGoop 具有读取和写入 ICS 设备的功能，该设备保存包含输入、输出和配置数据的寄存器。它还接受可选的命令行执行参数，使用 JSON 格式的配置文件指定目标 IP 地址和 Modbus 命令，并将输出记录到控制台和/或 JSON 文件。

据称，针对市政区能源公司的事件导致600多栋公寓楼的供暖服务中断了近48小时。

研究人员在电话会议上表示：“对手向 ENCO 控制器发送了 Modbus 命令，导致测量不准确和系统故障，”并指出初始访问可能是通过利用 2023 年 4 月 Mikrotik 路由器中的一个漏洞获得的。

“攻击者向ENCO控制器发送Modbus命令，导致测量不准确和系统故障。整治花了将近两天时间。

虽然 FrostyGoop 广泛使用 Modbus 协议进行客户端/服务器通信，但它远非唯一的协议。2022 年，Dragos 和 Mandiant 详细介绍了另一种名为 PIPEDREAM（又名 INCONTROLLER）的 ICS 恶意软件，该恶意软件利用 OPC UA、Modbus 和 CODESYS 等各种工业网络协议进行交互。

它也是继 Stuxnet、Havex、Industroyer（又名 CrashOverride）、Triton（又名 Trisis）、BlackEnergy2、Industroyer2 和 COSMICENERGY 之后的第九个以 ICS 为重点的恶意软件。

Dragos表示，该恶意软件使用Modbus读取或修改ICS设备上的数据的能力对工业运营和公共安全产生了严重后果，并增加了超过46,000个暴露在互联网上的ICS设备通过广泛使用的协议进行通信。

研究人员表示：“在端口502上使用Modbus TCP对ICS的特定目标，以及与各种ICS设备直接交互的可能性，对多个部门的关键基础设施构成了严重威胁。

“组织必须优先实施全面的网络安全框架，以保护关键基础设施免受未来类似威胁。”