針對公用事業的網絡攻擊近年增加,對一般市民的生活也可以造成嚴重影響。烏克蘭 Lviv 的一間地區能源公司在 2024 年 1 月底遭受了網絡攻擊,黑客使用名為「FrostyGoop」的新型惡意軟件,導致超過 600 棟大廈在零下溫度中暖氣中斷長達兩天。
烏克蘭數碼安全狀況中心 (CSSC) 與營運科技安全公司 Dragos 發表報告指,黑客所採用的「FrostyGoop」惡意程式改變了暖氣控制器的數值,使其誤以為溫度比實際高,停止提供熱水,造成服務中斷。FrostyGoop 是首個利用工業 Modbus 協議直接影響此類系統的惡意軟件,也是迄今為止第九個專門針對工業控制系統 (ICS) 裝置的惡意程式。它以 Golang 編寫,適用於 Windows 系統,並透過 502 端口使用 Modbus TCP 與工業控制系統直接通訊。Modbus 協議在營運科技 (OT) 環境中廣泛使用,但安全性較差,通常沒有身份驗證機制。
根據分析,Dragos 「中度確信」在烏克蘭的攻擊中,未知犯罪分子使用 FrostyGoop 針對 TCP 502 端口對互聯網開放的 ENCO 控制器。Graham 指出:「不需要入侵網絡。這些裝置可以經由互聯網輕易存取。」然而,該惡意軟件也可能破壞其他透過 Modbus TCP 通訊的裝置。全球有超過 46,000 個透過 Modbus 通訊的 ICS 裝置暴露在互聯網上,Dragos 正在研究哪些裝置容易受到 FrostyGoop 的攻擊。
為了更好地保護 OT 環境,專家建議確保透過 Modbus 通訊的裝置不暴露在互聯網上,並限制對這些控制器的存取。此外,部署多因素身份驗證、記錄和監控所有遙距連接,以及使用 VPN 加密傳輸中的數據也能提供幫助。Dragos 現場技術總監 Phil Tonkin 指,FrostyGoop「非常適合攻擊最暴露和最容易得手的目標」,特別是水利設施、可再生能源組織和製造公司。他強調,雖然不應低估其威脅,但也不應認為它有構成國家電網癱瘓的風險。
來源:The Regsiter
