Acalvio - Защита OT и ICS сред от вредоносного ПО, эксплуатирующего слабости протоколов

В апреле 2024 года Центр кибербезопасности Украины (CSSC) сообщил о новом вредоносном ПО, нацеленном на ICS, под названием FrostyGoop. Программа использовала уязвимости промышленных протоколов, чтобы нарушить работу муниципального энергопоставщика, отвечающего за отопление более 600 жилых домов. Восстановление заняло более двух дней, оставив тысячи людей без отопления при минусовых температурах.

Этот инцидент подчеркивает растущую и опасную угрозу: вредоносное ПО, специально разработанное для эксплуатации сред операционных технологий (OT).

Что отличает FrostyGoop?

FrostyGoop — первое задокументированное вредоносное ПО с встроенной поддержкой эксплуатации протокола Modbus, одного из самых распространенных ICS протоколов. Через Modbus TCP программа:

• Отправляет несанкционированные команды на ПЛК (программируемые логические контроллеры)
• Удаленно изменяет рабочие параметры
• Отключает промышленные процессы

В данном случае злоумышленники отправляли op-коды Modbus для записи вредоносных значений в регистры ПЛК, фактически останавливая работу системы.

Почему ICS протоколы под угрозой

В отличие от современных IT-протоколов (HTTPS/TLS), промышленные протоколы, такие как Modbus и BACnet, не были разработаны с учетом безопасности. Они:

• Не имеют аутентификации
• Не поддерживают шифрование
• Принимают команды от любого клиента
• Уязвимы к атакам повторного воспроизведения, подмены и «человек посередине»

Это делает сети ICS крайне уязвимыми при кратковременном или постоянном подключении к интернету или ненадежным сетям.

Больше чем сегментация: зачем OT нужна система обнаружения угроз

Сегментация сети долгое время была основой безопасности OT, но теперь этого недостаточно. Злоумышленники могут обходить сегментацию через:

• Подключенные к интернету OT-активы
• Скомпрометированные VPN или системы удаленного доступа
• Внутренние угрозы
• Неправильные настройки межсетевых экранов
• Доступ через цепочку поставок

С вредоносным ПО, таким как FrostyGoop, активно нацеливающимся на ICS протоколы, организациям необходимо применять подход «предполагаемого взлома» и добавлять возможности обнаружения угроз в стратегию защиты OT.

Почему традиционное обнаружение не работает в OT

Старые инструменты мониторинга OT не справляются с целенаправленными атаками на ICS:

Инструменты на основе аномалий могут отмечать подозрительный трафик, но FrostyGoop использует корректные команды Modbus, которые выглядят нормально, оставаясь практически невидимым.

Acalvio Deception: более умный способ защиты ICS

Для обнаружения злоупотреблений ICS протоколами защитники используют кибер-дезинформацию. Acalvio развертывает OT-ориентированные приманки — реалистичные реплики ПЛК, HMI, полевых устройств и инженерных рабочих станций, созданные для привлечения злоумышленников.

Почему дезинформация работает в OT средах:

• Мгновенно обнаруживает несанкционированные команды Modbus/BACnet
• Не требует сигнатур или базовых линий
• Работает даже в ветвевых сетях, где NDR не видит трафик
• Раннее выявление разведывательных действий злоумышленников
• Высокоточные оповещения без ложных срабатываний

Злоумышленники, сканируя устройства Modbus, сначала взаимодействуют с приманками, что обеспечивает раннее обнаружение до того, как пострадает реальное оборудование.

Пример: предотвращение атаки FrostyGoop с помощью дезинформации

Действия злоумышленника:

1. Сканирует сеть на наличие ПЛК Modbus nmap <subnet CIDR> -p 502
2. Развертывает FrostyGoop для эксплуатации ПЛК с поддержкой Modbus
3. Отправляет команды на отключение

С Acalvio Deception:

• Шаг 1 вызывает оповещение, когда злоумышленники взаимодействуют с приманками ПЛК
• FrostyGoop тратит время на фиктивные объекты
• Команды SOC получают уведомление до того, как реальные системы будут затронуты
• Команды реагирования изолируют и нейтрализуют угрозу

Защитите свою OT с Acalvio – доступно через Softprom

Acalvio является лидером в автономной дезинформации для OT и ICS сред. Его платформа кибербезопасности с ИИ защищает от:

• APT атак
• Внутренних угроз
• Эксплуатации протоколов
• Промышленных программ-вымогателей
• Злоупотребления идентификацией и латерального перемещения

Как официальный дистрибьютор Acalvio, Softprom помогает организациям защищать IT, OT и критическую инфраструктуру от современных угроз.

Хотите усилить защиту вашей OT среды?

Свяжитесь с нами, чтобы назначить консультацию или демо Acalvio Deception.