ICS a Rischio: Il Nuovo Malware FrostyGoop Colpisce Ucraina e Romania

I ricercatori del team Unit42 hanno scoperto il nuovo malware FrostyGoop che prende di mira i dispositivi Industrial Control System (ICS). Il malware utilizza il protocollo Modbus TCP per sferrare attacchi alle infrastrutture critiche, comprese strutture in Ucraina e Romania. Inoltre il malware è in grado di provocare anche danni fisici.

FrostyGoop è stato avvistato per la prima volta nell’ottobre 2023. Il malware sfrutta le porte Telnet vulnerabili sui dispositivi ENCO e sui router TP-Link WR740N obsoleti, rendendo i sistemi particolarmente vulnerabili agli attacchi. Lo scopo principale è accedere ai dispositivi ed eseguire comandi Modbus.

Una caratteristica speciale di FrostyGoop è l’uso di una configurazione JSON unica e della libreria go-json di Goccy, che semplifica l’analisi del suo funzionamento. I ricercatori hanno anche trovato un eseguibile chiamato “go-encrypt.exe” che crittografa i file JSON utilizzando AES-CFB. Ciò potrebbe indicare un tentativo da parte degli aggressori di nascondere dati sensibili.

Il malware utilizza attivamente Modbus TCP per comunicare con i dispositivi tramite la porta 502. I comandi dannosi includono la lettura e la scrittura di registri utilizzando i codici funzione 3, 6 e 16, che consentono agli aggressori di controllare i dispositivi compromessi.

Gli esperti sottolineano che tali attacchi espongono vulnerabilità critiche nelle infrastrutture legacy ed evidenziano la necessità di rafforzare la protezione dei sistemi industriali. Con la crescente integrazione delle reti IT e OT, stanno emergendo nuovi vettori di attacco, rendendo le minacce provenienti da malware come FrostyGoop ancora più significative.

Gli attacchi alle infrastrutture critiche in paesi come Ucraina, Romania e Stati Uniti confermano l’urgenza del problema. Gli esperti di Palo Alto Networks sottolineano che la protezione dei sistemi legacy è un elemento chiave della sicurezza.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Marcello Filacchioni

ICT CISO e Cyber Security Manager con oltre vent’anni di esperienza tra settore pubblico e privato, ha guidato progetti di sicurezza informatica per realtà di primo piano. Specializzato in risk management, governance e trasformazione digitale, ha collaborato con vendor internazionali e startup innovative, contribuendo all’introduzione di soluzioni di cybersecurity avanzate. Possiede numerose certificazioni (CISM, CRISC, CISA, PMP, ITIL, CEH, Cisco, Microsoft, VMware) e svolge attività di docenza pro bono in ambito Cyber Security, unendo passione per l’innovazione tecnologica e impegno nella diffusione della cultura della sicurezza digitale.

Aree di competenza: Cyber Security Strategy & Governance, Vulnerability Management & Security Operations.