[English]Das Dragos OT Cyber Threat Intelligence-Team ist im April 2024 auf die ICS-Malware FrostyGoop gestoßen, die auf ICS-/OT-System abzielt. Diese Malware kann über das Modbus-Protokoll, ein Standard-ICS-Protokoll, das in allen Industriesektoren und Organisationen weltweit verwendet wird, direkt mit industriellen Kontrollsystemen (ICS) in OT-Umgebungen (Operational Technology) interagieren. Die Malware wurde wahrscheinlich bei einem Cyberangriff auf ein Fernwärmeunternehmen in der Ukraine eingesetzt, um die Heizungssysteme einer Stadt abzuschalten.
Was sind ICS-/OT-Systeme?
Das Kürzel ICS steht für Industrial Control System, ein allgemeiner Begriff für Kontrollsysteme zur Prozesskontrolle und Steuerung. OT ist die Abkürzung von Operational Technology, einer Betriebstechnologie, bestehend aus Hardware und Software, die für die direkte Überwachung und/oder Steuerung von Industrieanlagen, Anlagen, Prozessen und Ereignissen eine Änderung zuständig ist.
Angriff auf Heizungssystem im Winter
Der letzte große Vorfall, bei dem die Malware wahrscheinlich eingesetzt wurde, fand in der Stadt Lviv, Ukraine im Januar 2024 statt. Bei Minustemperaturen wurde das Heizungssystem von über 600 Wohneinheiten durch die FrostyGoop-Malware bei Minustemperaturen abgeschaltet. Es wird eine russische Gruppe hinter dieser Malware vermutet.
Die Angreifer schickten Modbus-Befehle an ENCO-Steuerungen, was zu ungenauen Messungen und Systemstörungen führte. Die Verantwortlichen für die Steuerungssysteme brauchten zwei Tage, um die Anlage wieder zum Laufen zu bringen. Sicherheitsexperten von Dragos vermuten, dass bei diesem Angriff wahrscheinlich FrostyGoop verwendet wurde. Denn eine zugehörige FrostyGoop-Konfigurationsdatei enthielt die IP-Adresse eines ENCO-Steuerungsgeräts. Die Sicherheitsexperten von Dragos gehen daher davon aus, dass die Malware FrostyGoop verwendet wurde, um ENCO-Steuerungen über den zum Internet offenen Modbus-TCP-Port 502 anzugreifen.
Die FrostyGoop-Malware
Dragos entdeckte die ICS-Malware FrostyGoop im April 2024 und schreibt hier, dass es die neunte bekannte ICS-Malware sei. Seinerzeit wurden von Dragos mehrere FrostyGoop-Binärdateien entdeckt. Die ICS-Malware FrostyGoop ist in Golang geschrieben und interagiert direkt mit industriellen Steuerungssystemen (ICS) über Modbus TCP an Port 502. Sie ist für Windows-Systeme kompiliert und wird von den meisten Antiviren-Anbietern nicht als bösartig erkannt.
Die Fähigkeit von FrostyGoop, mit ICS-Geräten über Modbus TCP zu kommunizieren, bedroht kritische Infrastrukturen in verschiedenen Sektoren. Da das Modbus-Protokoll in industriellen Umgebungen allgegenwärtig ist, kann diese Malware potenziell Störungen in allen Industriesektoren verursachen, indem sie mit älteren und modernen Systemen interagiert.
Netzwerksegmentierung und -kontrolle
Die Dragos Experten schreiben, dass der Cybervorfall in der Ukraine die Notwendigkeit angemessener Sicherheitskontrollen, einschließlich der Überwachung von OT-Netzwerken, verdeutlicht. Die mangelnde Erkennung durch Antivirus-Anbieter unterstreicht die Dringlichkeit einer kontinuierlichen Überwachung der OT-Netzwerksicherheit mit einer Analytik, die auch das ICS-Protokoll umfasst, um den Betreiber solcher Anlagen über potenzielle Risiken zu informieren.
Die Untersuchung des Cybervorfalls in der Ukraine ergab, dass die Angreifer möglicherweise über eine unbestimmte Schwachstelle in einem nach außen gerichteten Router Zugriff auf das Netzwerk des Opfers erhielten. Die Netzwerkressourcen, einschließlich des Routers, der Verwaltungsserver und der Fernwärmesystemsteuerungen, waren nicht ausreichend segmentiert, was den Cyberangriff erleichterte.
Dragos empfiehlt Unternehmen, die SANS 5 Critical Controls for World-Class OT Cybersecurity zu implementieren, zu denen die Reaktion auf ICS-Vorfälle, eine verteidigungsfähige Architektur, die Sichtbarkeit und Überwachung von ICS-Netzwerken, ein sicherer Fernzugriff und ein risikobasiertes Schwachstellenmanagement gehören. In seinem Beitrag über die Malware gibt Dragos entsprechende Hinweise, und hat natürlich auch ein passendes System. Unabhängig von der Dragos-Plattform zeigt sich, dass OT-Technologie besser abgesichert werden muss.
Hochinteressant, man kann davon ausgehen, dass immer wenn spezielle Industrie/Produktionsnetz-Protokolle und entsprechende Steuerungssysteme angeriffen werden, dass da staatliche Akteure dahinter stecken. Solche Ziele sind viel zu speziell, es ist spezielles Fachwissen für die Bussysteme und Protokolle erforderlich, man braucht ja auch entsprechende Hardware um mal auszuprobieren, ob der Angriff tatsächlich funktioniert. Das ist also z.B. mit dem Stuxnet-Angriff der Amerikaner auf die iranischen Atomanlagen vergleichbar, auch wenn es hier nur um ziviele Fernwärmesysteme in der Ukraine ging. Sowas hat der „typische Ransomware Hacker“ nicht einfach so da rumstehen. Als ich dann hier weiter las, dass (mal wieder) ukrainische Fernwärme angegriffen wurde (sonst immer „nur“ Gleitbomben auf die Heizkraftwerke), war sofort klar, das kann nur russischem Ursprung sein, denn wer hätte sonst ein Interesse daran, die russische Zivielbevölkerung leiden zu lassen? Der Krieg gegen die Ukraine ist an sich schon eine riesen Sauerei, aber solche hybriden Angriffe setzen dem noch eine Krone auf. Ich hoffe, solche Vorfälle kommen auch auf „die Liste“ auf der z.B. auch schon z.B. MH17 oder der Dnjepr-Staudamm steht, um hoffentlich eines Tages den senilen Greis da im Kremel noch in Den Haag zur Rechenschaft zu ziehen. Außerdem kann man sicher davon ausgehen, dass die Russen sowas auch in Westeuropa tun werden, wenn sich die Gelegenheit bietet und sie sich Chancen ausmalen, dadurch weiter zur Schwächung und Spaltung unserer Gesellschaft beitragen zu können. Wenn ich auf die hohe Anzahl Catches unserer Geoblocking-Regel in der Firewall drauf schaue, und da die zu über 75% russischen Flaggen vor den IP-Adressen blicke, bestätigt mir das diese Befürchtung jeden Tag.
@1ST1 – würde dennoch differenzieren. Eine Zentrifugensteuerung via STUX passend remote zu infiltrieren sehe ich immer noch um Faktor X komplexert als eine erreichbare MODBUS-Schnittstelle im IoT-WWW.
Vielleicht bin ich zu nerdig – ich hab allein im Bekanntenkreis 2 Personen, die selbst für die eigene Heizung zig Modbuskomponenten rumliegen haben und nutzen. ENCO, SHELLY, SIEMENS, WAGO … dort sah ich schon viele Gemeinsamkeiten. Ebenso kann man Komponenten recht frei und preiswert kaufen. Reichelt oder Ebay bieten schon ab 50€-300 erste brauchbare Steuermodule zum probieren, die Standards finden sich ebenso im Netz.
In Summe also eine miese – aber machbare Attacke, denk mal an die Remotesteuerung eines Wechselrichters, zB Deye …
Der Mythos Stuxnet lebt erkennbar fort. Stuxnet war KEIN Remote-Angriff.
Stimmt @RedTeam – ich versuchte zu differenzieren mit: „passend remote zu infiltrieren“. „passend“ war nicht deutlich genug zur Abgrenzung eines erreichbaren Modbus im WWW.
Laut Dragos-PDF war FrostyGoop eindeutig „remote“, daher sehe ich den Vergleich von 1ST1 mit Stuxnet ja als um Faktor X komplexer. Für FrostyGoop könnten einige Geräte zum Testen, etwas probieren, Suche per Shodan oder shadowserver und etwas KnowHow reichen.
Genauso halt wie einige Wechselrichter oder andere IoT’s.
+1
Also Modbus hat man auch bei Smarthomegeräten, Ne S7 & Co ist jetzt auch nix aussergewöhnliches im „nerdigen“ Heimbereich… Mein FluSim sitzt zum Beispiel auf nem Festo 4D Portal und wird von 2x S7-1214C gesteuert.
Findest sicher nicht in jeder Harz4 Bude, aber so aussergewöhnlich ist das im Heimbereich nun auch wieder nicht.
Hast du nen Eigenheim hast du so einiges evtl sogar im Gebrauch ohne es zu Wissen Heizungsstuerung etc. selbst Treppenlicht & Co realisieren heutzutage Elektriker mit ner Logo! oder ner Easy.
Also durchaus auch angriffswerte Ziele. Zumal Hacker meistens technikaffiner sind als die Dummbratze von nebenan. Staatliche Hacker sowieso.
Da muß ich widersprechen. Modbus/TCP ist ein triviales Protokoll, das jeder Hobbybastler anwenden kann. Und die Schnittstellenbeschreibung der Komponenten findet sich in aller Regel im Internet. Da Modbus/TCP uralt ist und von Haus aus keine Security untertsützt sollte man das nur zusammen mit mutalTLS anwenden. Also ein klares Versäumnis des Anwenders. Ungesicherter TCP Access aus dem Internet ist nunmal ein Kardinalfehler und zeugt von völliger Unwissenheit, was Security angeht. Man braucht sich nicht wundern, wenn man das Scheunentor offen läßt, daß dann allerlei ungebetene Gäste eintreten. Den Angiff mit Stuxnet zu vergleichen, ist so was von lächerlich und zeigt wie wenig Ahnung der Vorposter davon hat. Die Attributierung von Angriffen ist selten möglich und ein paar IP Adressen sagen rein gar nichts, ich würde beim Hacking auch Proxies und IP Spoofing verwenden. BTW: die angeführten Vorwürfe sind nur Propaganda und durch nichts bewiesen. Ich würde damit nicht um mich werfen, schon gar nicht in einem Technik-Blog, der mit Fakten aufwartet. Es zeigt sich hier ganz deutlich wie weit die anti-russische Propaganda bereits in der Köpfe weiter Kreise der Gesellschaft eingedrungen ist.
Zusammenfassung: Aus SCADA nicht gelernt.
Blog-Beitrag Experten warnen: SCADA-Systeme hoffnungslos unsicher
Die ganze PDF Analyse hier als PDF mit 13 Seiten, 5 Action Items ab Page 9:
Da fallen mir doch Grüße von Fr Plattner/BSI ein … einfach mal die Tür zu machen