Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 24 Luglio 2024 15:12
Tutto questo per chi conosce la storia della cybersecurity fa venire in mente Industroyer, già ampiamente trattato, che lasciò la capitale dell’Ucraina KIEV per due ore senza elettricità, ma sembra che in questo caso sia andato molto peggio.
A gennaio, l’Ucraina ha dovuto affrontare un attacco informatico che ha lasciato i residenti di Leopoli senza riscaldamento per 2 giorni. Gli aggressori hanno utilizzato il malware FrostyGoop, precedentemente sconosciuto, mirato ai sistemi ICS. In un nuovo rapporto gli esperti di Dragos hanno descritto il funzionamento del malware.
FrostyGoop è stato il primo virus a utilizzare direttamente il protocollo Modbus TCP per sabotare le reti OT (Operational Technology). Il virus è stato identificato per la prima volta dall’azienda nell’aprile 2024. FrostyGoop è scritto in Golang e può interagire direttamente con i sistemi ICS tramite Modbus TCP sulla porta 502. Il virus prende di mira principalmente i sistemi Windows e utilizza controller ENCO con accesso aperto alla porta 502 su Internet.
 Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀
Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮.
Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Il software dannoso è in grado di leggere e scrivere dati su dispositivi ICS, gestire registri contenenti dati di input e output, nonché informazioni di configurazione. FrostyGoop utilizza file di configurazione JSON per impostare indirizzi IP di destinazione e comandi Modbus e scrive i risultati sulla console e/o su un file JSON.
L’attacco informatico era mirato a un’azienda municipale che fornisce il riscaldamento centralizzato in più di 600 condomini a Leopoli. Il malware FrostyGoop ha modificato i valori sui termoregolatori, provocando l’erogazione di acqua fredda anziché calda. I residenti della città sono rimasti senza riscaldamento e acqua calda per quasi 48 ore.
Gli aggressori hanno inviato comandi Modbus ai controllori ENCO, che hanno causato misurazioni errate e guasti al sistema. Ci sono voluti quasi 2 giorni per eliminare le conseguenze dell’attacco. L’accesso iniziale ai sistemi è stato probabilmente ottenuto attraverso una vulnerabilità nei router Mikrotik nell’aprile 2023.
Nonostante l’uso diffuso del protocollo Modbus per le comunicazioni client-server, FrostyGoop non è l’unico esempio di tale software. Nel 2022, Dragos e Mandiant hanno introdotto un altro malware ICS chiamato PIPEDREAM (INCONTROLLER), che utilizzava vari protocolli di rete industriale per interagire con i sistemi.
I ricercatori hanno evidenziato che l’uso mirato di Modbus TCP sulla porta 502 e la capacità di comunicare direttamente con vari dispositivi ICS rappresentano una seria minaccia per le infrastrutture critiche in vari settori. Le organizzazioni dovrebbero dare priorità all’implementazione di sistemi completi di sicurezza informatica per proteggere le infrastrutture critiche da minacce simili in futuro.
RedazioneIl mondo della tecnologia quantistica ha compiuto un balzo in avanti impressionante: QuantWare ha presentato il primo processore al mondo da 10.000 qubit, 100 volte più di qualsiasi dispositivo esist...
Un aggiornamento urgente è stato pubblicato da Ivanti per la sua piattaforma Endpoint Manager (EPM), al fine di risolvere un insieme di vulnerabilità significative che potrebbero permettere agli agg...
A seguito della scoperta di exploit attivi, la Cybersecurity and Infrastructure Security Agency (CISA) ha inserito due vulnerabilità critiche al catalogo Known Exploited Vulnerabilities (KEV) dell’...
Una vulnerabilità zero-day nel driver Windows Cloud Files Mini Filter (cldflt.sys) è attualmente oggetto di sfruttamento attivo. Microsoft ha provveduto al rilascio di aggiornamenti di sicurezza urg...
Una vulnerabilità critica, monitorata con il codice CVE-2025-59719, riguarda le linee di prodotti FortiOS, FortiWeb, FortiProxy e FortiSwitchManager è stata segnalata da Fortinet tramite un avviso d...
