کمیته رکن چهارم – بدافزار FrostyGoop با استفاده از پروتکل Modbus TCP و آسیبپذیری در روترهای Mikrotik، به شبکههای انرژی نفوذ کرده و خدمات گرمایشی را در ۶۰۰ ساختمان مختل کرد.
پژوهشگران امنیت سایبری از کشف نوع جدیدی از بدافزار که به حملات سایبری بر روی سیستمهای کنترل صنعتی (ICS) متمرکز است، خبر دادند. این بدافزار که به نام FrostyGoop شناخته میشود، برای نخستینبار بهطور مستقیم از پروتکل Modbus TCP برای خرابکاری در شبکههای تکنولوژی عملیاتی (OT) استفاده میکند و به طور خاص برای هدف قرار دادن سیستمهای کنترل ENCO که از پروتکل Modbus TCP استفاده میکنند طراحی شده است.
Modbus یک پروتکل ارتباطی است که برای انتقال اطلاعات بین دستگاههای الکترونیکی استفاده میشود. این پروتکل در اصل برای استفاده در سیستمهای کنترل صنعتی طراحی شده و از آن برای ارتباط بین دستگاههایی مانند کنترلرهای منطقی قابل برنامهریزی (PLC) و حسگرها یا محرکها استفاده میشود. Modbus از ساختار کلاینت-سرور استفاده میکند. این پروتکل معمولاً از طریق پورت ۵۰۲ TCP/IP پیادهسازی میشود.
FrostyGoop، که با زبان برنامهنویسی Golang نوشته شده، قادر است مستقیماً با دستگاههای ICS از طریق پروتکل Modbus TCP بر روی پورت ۵۰۲ ارتباط برقرار کند. این بدافزار به طور عمده سیستمهای ویندوزی را هدف قرار میدهد و برای آسیب رساندن به دستگاههای کنترل ENCO که پورت TCP 502 آنها به اینترنت متصل است، استفاده میشود. سیستمهای کنترل ENCO (Energy Control System) در واقع نوعی سیستم کنترل صنعتی هستند که برای مدیریت و نظارت بر تجهیزات و فرآیندهای انرژی استفاده میشوند. این سیستمها معمولاً در تأسیسات انرژی مانند نیروگاهها، شبکههای توزیع برق و تأسیسات گرمایشی به کار میروند. سیستمهای ENCO میتوانند شامل سختافزار و نرمافزارهایی باشند که برای جمعآوری دادهها، مانیتورینگ و کنترل تجهیزات انرژی استفاده میشوند. این سیستمها اغلب از پروتکلهای ارتباطی استاندارد مانند Modbus برای ارتباط با دستگاههای مختلف استفاده میکنند. این بدافزار قابلیت خواندن و نوشتن دادهها به دستگاههای ICS را دارد و همچنین میتواند دستورات از طریق فایلهای پیکربندی JSON دریافت کند و خروجیها را به کنسول و یا فایل JSON گزارش دهد.
حملهای که اخیرا رخ داد و در آن از FrostyGoop استفاده شده بود، به یک شرکت انرژی صورت گرفت و منجر به قطع خدمات گرمایشی در بیش از ۶۰۰ ساختمان مسکونی به مدت نزدیک به ۴۸ ساعت شد. محققان معتقدند که دسترسی اولیه به شبکههای آسیبدیده از طریق آسیبپذیریهایی در روترهای Mikrotik به دست آمده است.
FrostyGoop یکی از ۹ نوع بدافزار ICS است که تاکنون شناسایی شده است. این بدافزارها شامل Stuxnet، Havex، Industroyer، Triton، BlackEnergy2، Industroyer2 و COSMICENERGY هستند. FrostyGoop به طور خاص از پروتکل Modbus TCP برای برهم زدن عملکرد دستگاههای ICS استفاده میکند و تهدیدی جدی برای زیرساختهای حیاتی در بخشهای مختلف به شمار میآید.
با توجه به این که بیش از ۴۶,۰۰۰ دستگاه ICS به صورت اینترنتی با استفاده از پروتکل Modbus ارتباط دارند، وجود چنین بدافزارهایی میتواند پیامدهای خطرناکی برای عملیات صنعتی و ایمنی عمومی داشته باشد.
پژوهشگران توصیه میکنند که سازمانها امنیت زیرساختهای خود را با پیادهسازی تدابیر جامع حفاظتی تقویت کنند تا از تهدیدات مشابه جلوگیری کنند. برای پیشگیری و کاهش خطر بدافزار FrostyGoop، باید سیستمها و تجهیزات بهروزرسانی شوند و مانیتورینگ شبکه و شناسایی هرگونه فعالیت مشکوک در دستور کار قرار گیرد. پیکربندی درست تجهیزات و حصول اطمینان از اینکه پورتهای ناامن مانند پورت ۵۰۲ برای Modbus به درستی پیکربندی شده و در معرض اینترنت نیستند و استفاده از فایروالها و سیستمهای تشخیص نفوذ (IDS/IPS) برای محافظت از شبکه از ضروریات است. همچنین علاوه بر لزوم آموزش کارکنان، پشتیبانگیری منظم از دادهها و سیستمها و اجرای سیاستهای دسترسی محدود به سیستمهای حیاتی باید همواره مدنظر قرار گیرد.
منبع : افتانا