Login Реєстрація

Виберіть країну

  • Події
  • Про компанію
  • Вакансії
  • Карта виробників
  • Події
  • Про компанію
  • Вакансії
  • Карта виробників
News

Захист промислових систем керування від експлойтів протоколів: як обман Acalvio зупиняє атаки в стилі FrostyGoop

News | 28.10.2025

Acalvio - Захист OT та ICS середовищ від шкідливого ПЗ, що експлуатує вразливості протоколів

У квітні 2024 року Центр кібербезпеки України (CSSC) повідомив про новий шкідливий код, спрямований на ICS, під назвою FrostyGoop. Програма використовувала вразливості промислових протоколів, щоб порушити роботу муніципального енергопостачальника, відповідального за опалення понад 600 житлових будинків. Відновлення тривало більше двох днів, залишивши тисячі людей без опалення при мінусових температурах.

Цей інцидент підкреслює зростаючу та небезпечну загрозу: шкідливе ПЗ, спеціально розроблене для експлуатації середовищ операційних технологій (OT).

Що відрізняє FrostyGoop?

FrostyGoop — перше задокументоване шкідливе ПЗ з вбудованою підтримкою експлуатації протоколу Modbus, одного з найпоширеніших ICS протоколів. Через Modbus TCP програма:

  • Відправляє несанкціоновані команди на ПЛК (програмовані логічні контролери)
  • Віддалено змінює робочі параметри
  • Вимикає промислові процеси

У цьому випадку зловмисники відправляли op-коди Modbus для запису шкідливих значень у регістри ПЛК, фактично зупиняючи роботу системи.

Чому ICS протоколи під загрозою

На відміну від сучасних IT-протоколів (HTTPS/TLS), промислові протоколи, такі як Modbus і BACnet, не були розроблені з урахуванням безпеки. Вони:

  • Не мають аутентифікації
  • Не підтримують шифрування
  • Приймають команди від будь-якого клієнта
  • Вразливі до атак повторного відтворення, підміни та «людина посередині»

Це робить мережі ICS надзвичайно вразливими при короткочасному або постійному підключенні до Інтернету або ненадійних мереж.

Більше ніж сегментація: навіщо OT потрібне виявлення загроз

Сегментація мережі довгий час була основою безпеки OT, але тепер цього недостатньо. Зловмисники можуть обходити сегментацію через:

  • Підключені до Інтернету OT-активи
  • Скомпрометовані VPN або системи віддаленого доступу
  • Внутрішні загрози
  • Неправильні налаштування міжмережевих екранів
  • Доступ через ланцюг постачання

З шкідливим ПЗ, таким як FrostyGoop, що активно націлене на ICS протоколи, організаціям необхідно застосовувати підхід «припускаємо порушення» та додавати можливості виявлення загроз у стратегію захисту OT.

Чому традиційне виявлення не працює в OT

Старі інструменти моніторингу OT не справляються з цілеспрямованими атаками на ICS:

Традиційний метод Обмеження у безпеці OT
Агенти на кінцевих точках (EDR) Не сумісні з ПЛК та польовими пристроями
Аналітика логів Неповні або відсутні дані логів
NDR/Виявлення аномалій Не бачить експлойти, специфічні для протоколів

Інструменти на основі аномалій можуть відзначати підозрілий трафік, але FrostyGoop використовує коректні команди Modbus, які виглядають нормально, залишаючись практично невидимим.

Acalvio Deception: розумніший спосіб захисту ICS

Для виявлення зловживань ICS протоколами захисники використовують кібер-дезінформацію. Acalvio розгортає OT-орієнтовані приманки — реалістичні репліки ПЛК, HMI, польових пристроїв та інженерних робочих станцій, створені для приваблення зловмисників.

Чому дезінформація працює в OT середовищах:

  • Миттєво виявляє несанкціоновані команди Modbus/BACnet
  • Не потребує сигнатур або базових ліній
  • Працює навіть у листових мережах, де NDR не бачить трафік
  • Раннє виявлення розвідувальних дій зловмисників
  • Високоточні сповіщення без хибних спрацьовувань

Зловмисники, скануючи пристрої Modbus, спершу взаємодіють з приманками, що забезпечує раннє виявлення до того, як постраждає реальне обладнання.

Приклад: запобігання атаці FrostyGoop за допомогою дезінформації

Дії зловмисника:

  1. Сканує мережу на наявність ПЛК Modbus nmap <subnet CIDR> -p 502
  2. Розгортає FrostyGoop для експлуатації ПЛК з підтримкою Modbus
  3. Відправляє команди на вимкнення

З Acalvio Deception:

  • Крок 1 викликає сповіщення, коли зловмисники взаємодіють із приманками ПЛК
  • FrostyGoop витрачає час на фіктивні об’єкти
  • Команди SOC отримують повідомлення до того, як реальні системи будуть задіяні
  • Команди реагування ізолюють і нейтралізують загрозу

Захистіть свою OT з Acalvio – доступно через Softprom

Acalvio є лідером в автономній дезінформації для OT та ICS середовищ. Його платформа кібербезпеки з ІІ захищає від:

  • APT атак
  • Внутрішніх загроз
  • Експлуатації протоколів
  • Промислових програм-вимагачів
  • Зловживання ідентифікацією та латерального переміщення

Як офіційний дистриб’ютор Acalvio, Softprom допомагає організаціям захищати IT, OT та критичну інфраструктуру від сучасних загроз.

Бажаєте посилити захист вашої OT середовища?

Зв’яжіться з нами, щоб призначити консультацію або демонстрацію Acalvio Deception.

Замовити консультацію
Про компанію