{"id":297710,"date":"2024-07-24T09:01:45","date_gmt":"2024-07-24T07:01:45","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=297710"},"modified":"2024-07-25T01:10:50","modified_gmt":"2024-07-24T23:10:50","slug":"frostygoop-malware-befllt-ot-systeme-steuerung-von-industrieanlagen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/07\/24\/frostygoop-malware-befllt-ot-systeme-steuerung-von-industrieanlagen\/","title":{"rendered":"FrostyGoop-Malware befällt OT-Systeme (Steuerung von Industrieanlagen)"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Das\u00a0 Dragos OT Cyber Threat Intelligence-Team ist im April 2024 auf die ICS-Malware FrostyGoop gesto\u00dfen, die auf ICS-\/OT-System abzielt.\u00a0 Diese Malware kann \u00fcber das Modbus-Protokoll, ein Standard-ICS-Protokoll, das in allen Industriesektoren und Organisationen weltweit verwendet wird, direkt mit industriellen Kontrollsystemen (ICS) in OT-Umgebungen (Operational Technology) interagieren. Die Malware wurde wahrscheinlich bei einem Cyberangriff auf ein Fernw\u00e4rmeunternehmen in der Ukraine eingesetzt, um die Heizungssysteme einer Stadt abzuschalten.<\/p>\n

<\/p>\n

Was sind ICS-\/OT-Systeme?<\/h2>\n

\"\"Das K\u00fcrzel ICS steht f\u00fcr Industrial Control System<\/a>, ein allgemeiner Begriff f\u00fcr Kontrollsysteme zur Prozesskontrolle und Steuerung. OT ist die Abk\u00fcrzung von Operational Technology<\/a>, einer Betriebstechnologie, bestehend aus Hardware und Software, die f\u00fcr die direkte \u00dcberwachung und\/oder Steuerung von Industrieanlagen, Anlagen, Prozessen und Ereignissen eine \u00c4nderung zust\u00e4ndig ist.<\/p>\n

Angriff auf Heizungssystem im Winter<\/h2>\n

Der letzte gro\u00dfe Vorfall, bei dem die Malware wahrscheinlich eingesetzt wurde, fand in der Stadt Lviv, Ukraine im Januar 2024 statt. Bei Minustemperaturen wurde das Heizungssystem von \u00fcber 600 Wohneinheiten durch die FrostyGoop-Malware bei Minustemperaturen abgeschaltet. Es wird eine russische Gruppe hinter dieser Malware vermutet.<\/p>\n

Die Angreifer schickten Modbus-Befehle an ENCO-Steuerungen, was zu ungenauen Messungen und Systemst\u00f6rungen f\u00fchrte. Die Verantwortlichen f\u00fcr die Steuerungssysteme brauchten zwei Tage, um die Anlage wieder zum Laufen zu bringen. Sicherheitsexperten von Dragos vermuten, dass bei diesem Angriff wahrscheinlich FrostyGoop verwendet wurde. Denn eine zugeh\u00f6rige FrostyGoop-Konfigurationsdatei enthielt die IP-Adresse eines ENCO-Steuerungsger\u00e4ts. Die Sicherheitsexperten von Dragos gehen daher davon aus, dass die Malware FrostyGoop verwendet wurde, um ENCO-Steuerungen \u00fcber den zum Internet offenen Modbus-TCP-Port 502 anzugreifen.<\/p>\n

Die FrostyGoop-Malware<\/h2>\n

Dragos entdeckte die ICS-Malware FrostyGoop im April 2024 und schreibt hier<\/a>, dass es die neunte bekannte ICS-Malware sei. Seinerzeit wurden von Dragos mehrere FrostyGoop-Bin\u00e4rdateien\u00a0 entdeckt. Die ICS-Malware FrostyGoop ist in Golang geschrieben und interagiert direkt mit industriellen Steuerungssystemen (ICS) \u00fcber Modbus TCP an Port 502. Sie ist f\u00fcr Windows-Systeme kompiliert und wird von den meisten Antiviren-Anbietern nicht als b\u00f6sartig erkannt.<\/p>\n

Die F\u00e4higkeit von FrostyGoop, mit ICS-Ger\u00e4ten \u00fcber Modbus TCP zu kommunizieren, bedroht kritische Infrastrukturen in verschiedenen Sektoren. Da das Modbus-Protokoll in industriellen Umgebungen allgegenw\u00e4rtig ist, kann diese Malware potenziell St\u00f6rungen in allen Industriesektoren verursachen, indem sie mit \u00e4lteren und modernen Systemen interagiert.<\/p>\n

Netzwerksegmentierung und -kontrolle<\/h2>\n

Die Dragos Experten schreiben, dass der Cybervorfall in der Ukraine die Notwendigkeit angemessener Sicherheitskontrollen, einschlie\u00dflich der \u00dcberwachung von OT-Netzwerken, verdeutlicht. Die mangelnde Erkennung durch Antivirus-Anbieter unterstreicht die Dringlichkeit einer kontinuierlichen \u00dcberwachung der OT-Netzwerksicherheit mit einer Analytik, die auch das ICS-Protokoll umfasst, um den Betreiber solcher Anlagen \u00fcber potenzielle Risiken zu informieren.<\/p>\n

Die Untersuchung des Cybervorfalls in der Ukraine ergab, dass die Angreifer m\u00f6glicherweise \u00fcber eine unbestimmte Schwachstelle in einem nach au\u00dfen gerichteten Router Zugriff auf das Netzwerk des Opfers erhielten. Die Netzwerkressourcen, einschlie\u00dflich des Routers, der Verwaltungsserver und der Fernw\u00e4rmesystemsteuerungen, waren nicht ausreichend segmentiert, was den Cyberangriff erleichterte.<\/p>\n

Dragos empfiehlt Unternehmen, die SANS 5 Critical Controls for World-Class OT Cybersecurity zu implementieren, zu denen die Reaktion auf ICS-Vorf\u00e4lle, eine verteidigungsf\u00e4hige Architektur, die Sichtbarkeit und \u00dcberwachung von ICS-Netzwerken, ein sicherer Fernzugriff und ein risikobasiertes Schwachstellenmanagement geh\u00f6ren. In seinem Beitrag<\/a> \u00fcber die Malware gibt Dragos entsprechende Hinweise, und hat nat\u00fcrlich auch ein passendes System. Unabh\u00e4ngig von der Dragos-Plattform zeigt sich, dass OT-Technologie besser abgesichert werden muss.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Das\u00a0 Dragos OT Cyber Threat Intelligence-Team ist im April 2024 auf die ICS-Malware FrostyGoop gesto\u00dfen, die auf ICS-\/OT-System abzielt.\u00a0 Diese Malware kann \u00fcber das Modbus-Protokoll, ein Standard-ICS-Protokoll, das in allen Industriesektoren und Organisationen weltweit verwendet wird, direkt mit industriellen Kontrollsystemen … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-297710","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/297710","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=297710"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/297710\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=297710"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=297710"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=297710"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}