به گزارش توژال، بدافزار به برنامه های نفوذی اطلاق می شود که توسط هکرها برای سرقت داده ها و آسیب رساندن یا تخریب رایانه ها و سیستم های رایانه ای ایجاد می شود. در واقع بدافزار یا بدافزار برنامه ها یا فایل هایی هستند که برای سیستم، شبکه یا سرور مضر هستند.

بدافزارهای رایج شامل ویروس‌های رایانه‌ای، کرم‌ها، تروجان‌ها، جاسوس‌افزارها، ابزارهای تبلیغاتی مزاحم و باج‌افزارها هستند. این بدافزار می‌دزدد، رمزگذاری می‌کند، داده‌های حساس را حذف می‌کند، عملکردهای محاسباتی اولیه را تغییر می‌دهد یا هک می‌کند، و فعالیت رایانه کاربران نهایی را زیر نظر دارد. در سال های اخیر، حملات بدافزار اطلاعات زیادی را استخراج کرده اند.

در همین راستا، اخیراً محققان امنیت سایبری از کشف نوع جدیدی از بدافزار خبر دادند که بر حملات سایبری به سیستم‌های کنترل صنعتی (ICS) تمرکز دارد.

این بدافزار که با نام «FrostyGoop» شناخته می‌شود، اولین بدافزاری است که مستقیماً از پروتکل Modbus TCP برای براندازی شبکه‌های فناوری عملیاتی (OT) استفاده می‌کند، به‌ویژه سیستم‌های کنترل ENCO را هدف قرار می‌دهد که از پروتکل Modbus TCP طراحی‌شده استفاده می‌کنند.

Modbus یک پروتکل ارتباطی است که برای انتقال اطلاعات بین دستگاه های الکترونیکی استفاده می شود. این پروتکل در ابتدا برای استفاده در سیستم های کنترل صنعتی طراحی شده بود و برای برقراری ارتباط بین دستگاه هایی مانند کنترل کننده های منطقی قابل برنامه ریزی (PLC) و سنسورها یا محرک ها استفاده می شود. Modbus از معماری مشتری-سرور استفاده می کند. این پروتکل معمولاً از طریق پورت TCP/IP 502 پیاده سازی می شود.

FrostyGoop که به زبان برنامه نویسی Golang نوشته شده است، قادر است مستقیماً با دستگاه های ICS از طریق پروتکل Modbus TCP در پورت 502 ارتباط برقرار کند. این بدافزار عمدتاً سیستم های ویندوز را هدف قرار می دهد و برای آسیب رساندن به کنترل کننده های ENCO استفاده می شود که پورت TCP 502 آنها به اینترنت متصل می شود.

سیستم های کنترل ENCO (سیستم کنترل انرژی) در واقع نوعی سیستم کنترل صنعتی هستند که برای مدیریت و کنترل تجهیزات و فرآیندهای انرژی استفاده می شود. این سیستم ها معمولاً در تأسیسات انرژی مانند نیروگاه ها، شبکه های توزیع برق و تأسیسات گرمایشی استفاده می شوند. سیستم های ENCO می توانند شامل سخت افزار و نرم افزار مورد استفاده برای جمع آوری داده ها و نظارت و کنترل تجهیزات انرژی باشند.

این سیستم ها اغلب از پروتکل های ارتباطی استاندارد مانند Modbus برای برقراری ارتباط با دستگاه های مختلف استفاده می کنند. این بدافزار قادر به خواندن و نوشتن داده ها در دستگاه های ICS است و همچنین می تواند دستورات را از طریق فایل های پیکربندی JSON دریافت کند و خروجی را به کنسول یا فایل JSON گزارش دهد.

حمله اخیر با استفاده از FrostyGoop یک شرکت انرژی را هدف قرار داد و منجر به از دست دادن خدمات گرمایشی بیش از 600 ساختمان مسکونی به مدت تقریباً 48 ساعت شد. محققان بر این باورند که دسترسی اولیه به شبکه های آسیب دیده از طریق آسیب پذیری در روترهای میکروتیک به دست آمده است.

FrostyGoop یکی از 9 نوع بدافزار ICS است که تاکنون شناسایی شده است. این بدافزار شامل Stuxnet، Havex، Industroyer، Triton، BlackEnergy2، Industroyer2 و COSMICENERGY است. FrostyGoop به طور خاص از پروتکل Modbus TCP برای اختلال در عملکرد دستگاه های ICS استفاده می کند و تهدیدی جدی برای زیرساخت های حیاتی در بخش های مختلف است.

با توجه به اینکه بیش از 46000 دستگاه ICS با استفاده از پروتکل Modbus به اینترنت متصل هستند، وجود چنین بدافزاری می تواند عواقب جدی برای عملیات صنعتی و امنیت عمومی داشته باشد. محققان توصیه می کنند که سازمان ها امنیت زیرساخت های خود را با اجرای اقدامات امنیتی جامع برای جلوگیری از تهدیدات مشابه افزایش دهند.

بر اساس اطلاعیه مرکز مدیریت و هماهنگی امداد حوادث رایانه ای (MAHER)، به منظور پیشگیری و کاهش خطرات بدافزارهای ذکر شده، اقداماتی از قبیل به روز رسانی سیستم ها و تجهیزات، نظارت بر شبکه، شناسایی هرگونه فعالیت مشکوک، پیکربندی صحیح تجهیزات انجام می شود. و اطمینان از پیکربندی صحیح پورت های ناامن مانند پورت 502 برای Modbus، آموزش کارکنان، استفاده از فایروال ها و سیستم های تشخیص نفوذ (IDS/IPS) برای محافظت از شبکه، پشتیبان گیری منظم از داده ها و سیستم ها و اجرای محدودیت های محدود کننده. سیاست های دسترسی برای سیستم های حیاتی

لازم به ذکر است که این مرکز در ژوئن گذشته نسبت به گسترش بدافزار با استفاده از به روز رسانی جعلی مرورگر هشدار داده بود. در واقع، مهاجمان سایبری از به‌روزرسانی‌های جعلی مرورگر برای توزیع بدافزارهایی مانند BitRAT و Lumma Stealer استفاده کرده‌اند. گفته می شود که این حملات با هدایت کاربران به وب سایت های آلوده و دانلود فایل های مخرب توسط آنها آغاز می شود.