Analysez le malware FrostyGoop et son rôle contesté dans l'incident de chauffage de Lviv en 2024. Explorez les analyses techniques, les contre-arguments de SCADASEC et les comparaisons avec des malwares ICS connus pour évaluer son impact réel et sa sophistication.
Content
Ce guide offre une analyse comparative des scripts malveillants FrostyGoop, en passant en revue les conclusions d'un rapport de sécurité ICS de premier plan et les discussions au sein de la communauté de sécurité ICS. FrostyGoop, un ensemble de scripts associés aux environnements ICS, a récemment fait l'objet d'analyses suite à des rapports divergents d'experts en cybersécurité. Alors que certains experts caractérisent FrostyGoop comme une attaque sophistiquée ciblant les ICS et liée à un groupe russe, des opinions partagées dans la liste de diffusion SCADASEC suggèrent une perspective différente.
Notre analyse indépendante indique que FrostyGoop manque des caractéristiques avancées typiquement observées dans les logiciels malveillants parrainés par des États. Bien que FrostyGoop puisse posséder des capacités perturbatrices, sa sophistication globale ne correspond pas à celle d'autres logiciels malveillants ciblant les ICS, ce qui suggère que son niveau de menace devrait être réévalué. De plus, la revendication selon laquelle les appareils ENCO étaient ciblés ne peut pas être confirmée, car l'échantillon semble être un client Modbus générique avec des fonctionnalités limitées, manquant de preuves concluantes d'implication dans l'incident ukrainien. Une enquête plus approfondie sur la véritable nature de FrostyGoop est nécessaire pour comprendre pleinement ses implications pour la cybersécurité des ICS.
Qu'est-ce que FrostyGoop ?
FrostyGoop est un type rare de malware spécifiquement conçu pour cibler les ICS. Selon certains experts en cybersécurité, il s'agit du neuvième malware de ce type, rejoignant Trisis (Triton), CrashOverride (Industroyer), BlackEnergy2, Havex, Stuxnet, Industroyer2, PipeDream et Fuxnet. Développé soi-disant par l'équipe Sandworm, un groupe APT parrainé par l'État russe, FrostyGoop aurait été conçu pour perturber les OT en exploitant les vulnérabilités des réseaux ICS.
Une entreprise de sécurité ICS a affirmé que FrostyGoop utilise des communications Modbus TCP, est écrit en Golang et est compilé pour les systèmes Windows. Cela le rend particulièrement adapté aux environnements ICS où ces protocoles de communication et plateformes sont courants.
Aperçu de l'événement : Les systèmes de chauffage de Lviv
En janvier 2024, une entreprise de sécurité ICS de premier plan a signalé une cyberattaque sur l'infrastructure de chauffage de Lviv, prétendument menée en utilisant le malware FrostyGoop. Elle a attribué l'attaque au malware FrostyGoop « un malware lié à la Russie a été utilisé lors d'une cyberattaque en janvier 2024 pour couper le chauffage de plus de 600 immeubles d'habitation à Lviv, en Ukraine, pendant deux jours par des températures inférieures à zéro. » Les attaquants auraient obtenu un accès initial en exploitant des vulnérabilités dans les routeurs externes et auraient « déclassé le firmware sur les contrôleurs ENCO, déployant une version sans capacités de surveillance », entraînant une interruption de chauffage.
Cependant, SCADASEC présente un récit différent basé sur des sources ukrainiennes officielles, affirmant que seuls 324 Unités de Chauffage Individuelles (UCI) ont été touchées, et non 600 immeubles, et que « l'approvisionnement en chaleur a été rétabli en 6 heures à 50 % et en 13 heures à 100 %, et non les 48 heures revendiquées dans le rapport. » SCADASEC remet également en question le rôle des appareils ENCO dans cet incident. Selon SCADASEC, les appareils ENCO sont principalement utilisés pour lire les données des compteurs de chaleur et transmettre les données de statut à un serveur central, sans preuve de leur implication dans le contrôle des processus physiques. Cette fonction est soutenue par le Document de Spécification Technique, qui décrit leur but et leurs capacités.
De plus, SCADASEC fait valoir qu'il n'y a aucune mention de ces appareils prenant en charge le protocole Modbus pour des fonctions de contrôle, bien que les données des compteurs puissent potentiellement être converties de Mbus à Modbus à des fins de transmission - mais uniquement pour transférer des données de relevés. Cela suggère, selon SCADASEC, que les appareils ENCO, s'ils étaient impliqués, ont joué un rôle limité qui pourrait ne pas correspondre au scénario d'attaque proposé dans le rapport de renseignement sur les menaces de la société de sécurité ICS. Des détails supplémentaires sur les types d'appareils ENCO vendus en Ukraine, tels que des enregistreurs de données avec des modems GPRS, soutiennent cette interprétation. Par exemple, la liste d'appareils Elmisto ENCO montre que ces appareils sont principalement destinés à l'enregistrement de données plutôt qu'au contrôle direct des systèmes de chauffage.
SCADASEC affirme également qu'il n'y a aucune preuve directe confirmant que les appareils ENCO ont été ciblés ou affectés lors de l'incident. Ils soulignent que le seul lien avec les appareils ENCO provient d'une adresse IP codée en dur trouvée dans un fichier de configuration sur VirusTotal, qui pointe vers un appareil ENCO en Roumanie - pas à Lviv. En outre, selon SCADASEC, il n'y a pas d'appareils ENCO exposés à Lviv, d'après les scans Shodan, suggérant qu'ils n'ont jamais été en ligne ou exposés dans cette région selon le rapport de suivi SCADASEC.
Le maire de Lviv, Andriy Sadovyi, a reconnu l'incident, le décrivant comme une « défaillance », tout en ajoutant, « il y a une suspicion d'ingérence externe dans le système de travail de l'entreprise, qui est actuellement en cours d'enquête. » Cette ambiguïté souligne le caractère contesté de l'événement et les récits divergents présentés par l'entreprise de sécurité ICS et SCADASEC.
Ce livre blanc explore :
Aperçu de l'événement
Analyse technique
Analyse statique et dynamique
Cartographie MITRE ATT&CK et analyse de la chaîne de destruction cyber
Stratégies d'atténuation MITRE
Analyse comparative avec les logiciels malveillants ICS connus
Comparaison de FrostyGoop avec des logiciels malveillants ICS connus
Conclusion
Les caractéristiques de FrostyGoop, telles que son absence de charges utiles multi-étapes, de mécanismes d'auto-propagation et de spécificité dans la manipulation des protocoles, peuvent suggérer un profil de menace différent par rapport aux autres logiciels malveillants connus ciblant les ICS comme Stuxnet, Triton et CrashOverride. Bien qu'il puisse avoir des capacités perturbatrices dans un environnement non protégé, son manque global de sophistication suggère qu'il n'est pas dans la même catégorie que ces menaces plus avancées.
Une enquête plus approfondie est nécessaire pour déterminer si FrostyGoop représente une tentative d'acteur menaçant sans grande sophistication pour cibler les ICS, ou s'il s'agit simplement d'un outil expérimental de bas niveau avec un impact réel limité.
Contrepoints de SCADASEC et analyse plus approfondie
Selon SCADASEC, « l'échantillon découvert est un client Modbus générique capable de lire et d'écrire des sorties analogiques (essentiellement des valeurs de 0 à 100 %). » Cela concorde avec nos conclusions, qui suggèrent que le malware est plus un outil basique qu'une arme sophistiquée. SCADASEC souligne également que le lien avec les appareils ENCO est ténu, notant, « la seule relation avec les appareils ENCO… est l'adresse IP en Roumanie », ce qui jette un doute sur l'implication du malware dans l'incident de Lviv.
Note de prudence
Bien que FrostyGoop puisse avoir un potentiel perturbateur limité dans des environnements non protégés, les preuves actuelles ne soutiennent pas les affirmations selon lesquelles il aurait été impliqué dans l'incident de Lviv ou que les appareils ENCO aient été ciblés. Une enquête supplémentaire est requise pour comprendre pleinement son origine et son but.
Références
Introduction to FrostyGoop
FrostyGoop is a type of malware specifically designed to target Industrial Control Systems (ICS). According to Dragos, it is the ninth known ICS-targeted malware, joining the ranks of Trisis (Triton), CrashOverride (Industroyer), BlackEnergy2, Havex, Stuxnet, Industroyer2, PipeDream, and Fuxnet. Allegedly developed by the Sandworm team, a Russian state-sponsored Advanced Persistent Threat (APT) group, FrostyGoop is believed to disrupt Operational Technology (OT) by exploiting vulnerabilities in ICS networks.
Incident Overview: The Attack on Lviv Heating Systems
In January 2024, Dragos reported a cyberattack on Lviv's heating infrastructure, allegedly carried out using the FrostyGoop malware. Dragos claimed that the attack resulted in the disruption of heating for over 600 apartment buildings in Lviv, Ukraine, during sub-zero temperatures. However, SCADASEC presented a differing account, stating that only 324 Individual Heating Units (IHUs) were affected and that the heating supply was restored within 13 hours, not the 48 hours claimed by Dragos.
Technical Analysis of FrostyGoop
Summary of the Dragos Report
The Dragos report describes FrostyGoop's capabilities, including its use of Modbus TCP communications, its programming in Golang, and its compilation for Windows systems. The malware is capable of reading and writing to ICS device registers, accepting command-line execution arguments, and using configuration files to specify target IP addresses and Modbus commands.
Independent Analysis Methodology
To verify the claims made in the Dragos report, an independent analysis was conducted using samples provided by VXunderground. The methodology included sample collection and verification, static and dynamic analysis, and reverse engineering using Ghidra, an open-source reverse engineering tool developed by the NSA.
Static and Dynamic Analysis
The analysis revealed that FrostyGoop lacks obfuscation, a technique commonly used by advanced malware to evade detection. The malware functions primarily as a generic Modbus client, capable of reading and writing analog outputs but lacking the ability to interact with digital inputs/outputs or manipulate specific ICS processes.
Reverse Engineering
Reverse engineering with Ghidra confirmed that FrostyGoop does not depend on libraries typically used in advanced malware, such as those for network attacks, encrypted communication, or exploitation frameworks. The build settings are standard, with no signs of tampering or evasion techniques.

MITRE ATT&CK Mapping and Cyber Kill Chain Analysis
Tactics and Techniques
The MITRE ATT&CK framework and the Cyber Kill Chain provide structured ways to analyze potential tactics, techniques, and procedures (TTPs) associated with the FrostyGoop malware. The analysis includes tactics such as reconnaissance, weaponization, delivery, exploitation, installation, post-exploitation, and actions on objectives.
Breakdown by Cyber Kill Chain Phases
Reconnaissance (Initial Access): Attackers likely used open ports or misconfigured devices to gain initial access.
Weaponization: No specific techniques identified, indicating a lack of sophisticated weaponization characteristics.
Delivery: Attackers might use default credentials or valid accounts to move laterally within the ICS environment.
Exploitation: The malware could alter normal operations by reading and writing to ICS device registers and sending unauthorized Modbus commands.
Installation: The malware could manipulate I/O images to mislead operators or automated systems.
Post-Exploitation (Command and Control): The malware could obstruct monitoring by downgrading firmware or corrupting data streams and seize control of commands to prevent legitimate operator interventions.
Actions on Objectives: The malware aims to disrupt services by degrading the performance of ICS systems and manipulating safety mechanisms to create hazardous situations.

Mitigations
To defend against attacks like the hypothesized FrostyGoop attack, organizations should consider the following mitigations:
Network Segmentation: Implement network segmentation to isolate critical ICS networks from other networks.
Network Monitoring: Continuously monitor network traffic for unusual patterns.
Demilitarized LAN (DLAN): Deploy small, software-defined DMZs in front of each LAN to enhance security.
Strong Access Control and MFA: Enforce strict access control measures, including multi-factor authentication (MFA).
Incident Response: Develop and maintain an Incident Response Plan (IRP) tailored to ICS environments.
SOC, SIEM, and EDR Solutions: Deploy a comprehensive suite of security tools, including a Security Operations Center (SOC), Security Information and Event Management (SIEM), and Endpoint Detection and Response (EDR).
Comparative Analysis with Known ICS Malware
Stuxnet
Stuxnet utilized multiple zero-day exploits to infect specific Siemens PLCs used in Iran's nuclear enrichment facilities. It employed a multi-stage payload, enabling it to stealthily gain access, spread across networks, reprogram controllers, and sabotage centrifuge operations.
Trisis (Triton)
Triton specifically targeted safety instrumented systems (SIS) at a petrochemical plant, aiming to cause physical damage by manipulating the safety controls designed to prevent hazardous conditions.
CrashOverride (Industroyer)
CrashOverride was designed to target electrical substations by manipulating multiple industrial communication protocols. The malware had modules specifically crafted to communicate with and control different types of ICS devices.
Key Takeaways
FrostyGoop lacks the advanced features that characterize well-known ICS malware like Stuxnet, Triton, and CrashOverride. Its basic Modbus client functionality and lack of multi-stage payloads, self-propagating mechanisms, and protocol manipulation specificity suggest a different threat profile.
Autres articles de blog de Trout