Ce guide offre une analyse comparative des scripts malveillants FrostyGoop, en passant en revue les conclusions d'un rapport de sécurité ICS de premier plan et les discussions au sein de la communauté de sécurité ICS. FrostyGoop, un ensemble de scripts associés aux environnements ICS, a récemment fait l'objet d'analyses suite à des rapports divergents d'experts en cybersécurité. Alors que certains experts caractérisent FrostyGoop comme une attaque sophistiquée ciblant les ICS et liée à un groupe russe, des opinions partagées dans la liste de diffusion SCADASEC suggèrent une perspective différente.

Notre analyse indépendante indique que FrostyGoop manque des caractéristiques avancées typiquement observées dans les logiciels malveillants parrainés par des États. Bien que FrostyGoop puisse posséder des capacités perturbatrices, sa sophistication globale ne correspond pas à celle d'autres logiciels malveillants ciblant les ICS, ce qui suggère que son niveau de menace devrait être réévalué. De plus, la revendication selon laquelle les appareils ENCO étaient ciblés ne peut pas être confirmée, car l'échantillon semble être un client Modbus générique avec des fonctionnalités limitées, manquant de preuves concluantes d'implication dans l'incident ukrainien. Une enquête plus approfondie sur la véritable nature de FrostyGoop est nécessaire pour comprendre pleinement ses implications pour la cybersécurité des ICS.

Qu'est-ce que FrostyGoop ?

FrostyGoop est un type rare de malware spécifiquement conçu pour cibler les ICS. Selon certains experts en cybersécurité, il s'agit du neuvième malware de ce type, rejoignant Trisis (Triton), CrashOverride (Industroyer), BlackEnergy2, Havex, Stuxnet, Industroyer2, PipeDream et Fuxnet. Développé soi-disant par l'équipe Sandworm, un groupe APT parrainé par l'État russe, FrostyGoop aurait été conçu pour perturber les OT en exploitant les vulnérabilités des réseaux ICS.

Une entreprise de sécurité ICS a affirmé que FrostyGoop utilise des communications Modbus TCP, est écrit en Golang et est compilé pour les systèmes Windows. Cela le rend particulièrement adapté aux environnements ICS où ces protocoles de communication et plateformes sont courants.

Aperçu de l'événement : Les systèmes de chauffage de Lviv

En janvier 2024, une entreprise de sécurité ICS de premier plan a signalé une cyberattaque sur l'infrastructure de chauffage de Lviv, prétendument menée en utilisant le malware FrostyGoop. Elle a attribué l'attaque au malware FrostyGoop « un malware lié à la Russie a été utilisé lors d'une cyberattaque en janvier 2024 pour couper le chauffage de plus de 600 immeubles d'habitation à Lviv, en Ukraine, pendant deux jours par des températures inférieures à zéro. » Les attaquants auraient obtenu un accès initial en exploitant des vulnérabilités dans les routeurs externes et auraient « déclassé le firmware sur les contrôleurs ENCO, déployant une version sans capacités de surveillance », entraînant une interruption de chauffage.

Cependant, SCADASEC présente un récit différent basé sur des sources ukrainiennes officielles, affirmant que seuls 324 Unités de Chauffage Individuelles (UCI) ont été touchées, et non 600 immeubles, et que « l'approvisionnement en chaleur a été rétabli en 6 heures à 50 % et en 13 heures à 100 %, et non les 48 heures revendiquées dans le rapport. » SCADASEC remet également en question le rôle des appareils ENCO dans cet incident. Selon SCADASEC, les appareils ENCO sont principalement utilisés pour lire les données des compteurs de chaleur et transmettre les données de statut à un serveur central, sans preuve de leur implication dans le contrôle des processus physiques. Cette fonction est soutenue par le Document de Spécification Technique, qui décrit leur but et leurs capacités.

De plus, SCADASEC fait valoir qu'il n'y a aucune mention de ces appareils prenant en charge le protocole Modbus pour des fonctions de contrôle, bien que les données des compteurs puissent potentiellement être converties de Mbus à Modbus à des fins de transmission - mais uniquement pour transférer des données de relevés. Cela suggère, selon SCADASEC, que les appareils ENCO, s'ils étaient impliqués, ont joué un rôle limité qui pourrait ne pas correspondre au scénario d'attaque proposé dans le rapport de renseignement sur les menaces de la société de sécurité ICS. Des détails supplémentaires sur les types d'appareils ENCO vendus en Ukraine, tels que des enregistreurs de données avec des modems GPRS, soutiennent cette interprétation. Par exemple, la liste d'appareils Elmisto ENCO montre que ces appareils sont principalement destinés à l'enregistrement de données plutôt qu'au contrôle direct des systèmes de chauffage.

SCADASEC affirme également qu'il n'y a aucune preuve directe confirmant que les appareils ENCO ont été ciblés ou affectés lors de l'incident. Ils soulignent que le seul lien avec les appareils ENCO provient d'une adresse IP codée en dur trouvée dans un fichier de configuration sur VirusTotal, qui pointe vers un appareil ENCO en Roumanie - pas à Lviv. En outre, selon SCADASEC, il n'y a pas d'appareils ENCO exposés à Lviv, d'après les scans Shodan, suggérant qu'ils n'ont jamais été en ligne ou exposés dans cette région selon le rapport de suivi SCADASEC.

Le maire de Lviv, Andriy Sadovyi, a reconnu l'incident, le décrivant comme une « défaillance », tout en ajoutant, « il y a une suspicion d'ingérence externe dans le système de travail de l'entreprise, qui est actuellement en cours d'enquête. » Cette ambiguïté souligne le caractère contesté de l'événement et les récits divergents présentés par l'entreprise de sécurité ICS et SCADASEC.

Ce livre blanc explore :

• Aperçu de l'événement

• Analyse technique

• Analyse statique et dynamique

• Cartographie MITRE ATT&CK et analyse de la chaîne de destruction cyber

• Stratégies d'atténuation MITRE

• Analyse comparative avec les logiciels malveillants ICS connus

• Comparaison de FrostyGoop avec des logiciels malveillants ICS connus

Conclusion

Les caractéristiques de FrostyGoop, telles que son absence de charges utiles multi-étapes, de mécanismes d'auto-propagation et de spécificité dans la manipulation des protocoles, peuvent suggérer un profil de menace différent par rapport aux autres logiciels malveillants connus ciblant les ICS comme Stuxnet, Triton et CrashOverride. Bien qu'il puisse avoir des capacités perturbatrices dans un environnement non protégé, son manque global de sophistication suggère qu'il n'est pas dans la même catégorie que ces menaces plus avancées.

Une enquête plus approfondie est nécessaire pour déterminer si FrostyGoop représente une tentative d'acteur menaçant sans grande sophistication pour cibler les ICS, ou s'il s'agit simplement d'un outil expérimental de bas niveau avec un impact réel limité.

Contrepoints de SCADASEC et analyse plus approfondie

Selon SCADASEC, « l'échantillon découvert est un client Modbus générique capable de lire et d'écrire des sorties analogiques (essentiellement des valeurs de 0 à 100 %). » Cela concorde avec nos conclusions, qui suggèrent que le malware est plus un outil basique qu'une arme sophistiquée. SCADASEC souligne également que le lien avec les appareils ENCO est ténu, notant, « la seule relation avec les appareils ENCO… est l'adresse IP en Roumanie », ce qui jette un doute sur l'implication du malware dans l'incident de Lviv.

Note de prudence
Bien que FrostyGoop puisse avoir un potentiel perturbateur limité dans des environnements non protégés, les preuves actuelles ne soutiennent pas les affirmations selon lesquelles il aurait été impliqué dans l'incident de Lviv ou que les appareils ENCO aient été ciblés. Une enquête supplémentaire est requise pour comprendre pleinement son origine et son but.

Références

1. Rapport de menace de sécurité ICS sur FrostyGoop

2. Réponse SCADASEC au rapport de menace de sécurité ICS Fedback 1

3. Réponse SCADASEC au rapport de menace de sécurité ICS Feedback 2

4. Analyse de l'échantillon de malware