Redazione RHC : 24 Luglio 2024 15:12
Tutto questo per chi conosce la storia della cybersecurity fa venire in mente Industroyer, già ampiamente trattato, che lasciò la capitale dell’Ucraina KIEV per due ore senza elettricità, ma sembra che in questo caso sia andato molto peggio.
A gennaio, l’Ucraina ha dovuto affrontare un attacco informatico che ha lasciato i residenti di Leopoli senza riscaldamento per 2 giorni. Gli aggressori hanno utilizzato il malware FrostyGoop, precedentemente sconosciuto, mirato ai sistemi ICS. In un nuovo rapporto gli esperti di Dragos hanno descritto il funzionamento del malware.
FrostyGoop è stato il primo virus a utilizzare direttamente il protocollo Modbus TCP per sabotare le reti OT (Operational Technology). Il virus è stato identificato per la prima volta dall’azienda nell’aprile 2024. FrostyGoop è scritto in Golang e può interagire direttamente con i sistemi ICS tramite Modbus TCP sulla porta 502. Il virus prende di mira principalmente i sistemi Windows e utilizza controller ENCO con accesso aperto alla porta 502 su Internet.
 CVE Enrichment Mentre la finestra tra divulgazione pubblica di una vulnerabilità e sfruttamento si riduce sempre di più, Red Hot Cyber ha lanciato un servizio pensato per supportare professionisti IT, analisti della sicurezza, aziende e pentester: un sistema di monitoraggio gratuito che mostra le vulnerabilità critiche pubblicate negli ultimi 3 giorni dal database NVD degli Stati Uniti e l'accesso ai loro exploit su GitHub.
Cosa trovi nel servizio: ✅ Visualizzazione immediata delle CVE con filtri per gravità e vendor. ✅ Pagine dedicate per ogni CVE con arricchimento dati (NIST, EPSS, percentile di rischio, stato di sfruttamento CISA KEV). ✅ Link ad articoli di approfondimento ed exploit correlati su GitHub, per ottenere un quadro completo della minaccia. ✅ Funzione di ricerca: inserisci un codice CVE e accedi subito a insight completi e contestualizzati.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Il software dannoso è in grado di leggere e scrivere dati su dispositivi ICS, gestire registri contenenti dati di input e output, nonché informazioni di configurazione. FrostyGoop utilizza file di configurazione JSON per impostare indirizzi IP di destinazione e comandi Modbus e scrive i risultati sulla console e/o su un file JSON.
L’attacco informatico era mirato a un’azienda municipale che fornisce il riscaldamento centralizzato in più di 600 condomini a Leopoli. Il malware FrostyGoop ha modificato i valori sui termoregolatori, provocando l’erogazione di acqua fredda anziché calda. I residenti della città sono rimasti senza riscaldamento e acqua calda per quasi 48 ore.
Gli aggressori hanno inviato comandi Modbus ai controllori ENCO, che hanno causato misurazioni errate e guasti al sistema. Ci sono voluti quasi 2 giorni per eliminare le conseguenze dell’attacco. L’accesso iniziale ai sistemi è stato probabilmente ottenuto attraverso una vulnerabilità nei router Mikrotik nell’aprile 2023.
Nonostante l’uso diffuso del protocollo Modbus per le comunicazioni client-server, FrostyGoop non è l’unico esempio di tale software. Nel 2022, Dragos e Mandiant hanno introdotto un altro malware ICS chiamato PIPEDREAM (INCONTROLLER), che utilizzava vari protocolli di rete industriale per interagire con i sistemi.
I ricercatori hanno evidenziato che l’uso mirato di Modbus TCP sulla porta 502 e la capacità di comunicare direttamente con vari dispositivi ICS rappresentano una seria minaccia per le infrastrutture critiche in vari settori. Le organizzazioni dovrebbero dare priorità all’implementazione di sistemi completi di sicurezza informatica per proteggere le infrastrutture critiche da minacce simili in futuro.
RedazionePiaccia o meno, l’invio di un’email a un destinatario errato costituisce una violazione di dati personali secondo il GDPR. Ovviamente, questo vale se l’email contiene dati personali o se altrime...
Nel gergo dei forum underground e dei marketplace del cybercrime, il termine combo indica un insieme di credenziali rubate composto da coppie del tipo email:password. Non si tratta di semplici elenchi...
Sulla veranda di una vecchia baita in Colorado, Mark Gubrud, 67 anni, osserva distrattamente il crepuscolo in lontananza, con il telefono accanto a sé, lo schermo ancora acceso su un’app di notizie...
Anthropic ha rilasciato Claude Opus 4.5 , il suo nuovo modello di punta, che, secondo l’azienda, è la versione più potente finora rilasciata e si posiziona al vertice della categoria nella program...
Il lavoro da remoto, ha dato libertà ai dipendenti, ma con essa è arrivata anche la sorveglianza digitale. Ne abbiamo parlato qualche tempo fa in un articolo riportando che tali strumenti di monitor...
