Sicherheitsforscher von Dragos entdeckten bereits im April 2024 eine neuartige Malware, die gezielt gegen industrielle Kontrollsysteme (ICS) eingesetzt wird. Die Malware, mit dem Namen FrostyGoop, kann per Modbus direkt mit den ICS kommunizieren. Bei Modbus handelt es sich um ein Standard ICS-Protokoll, welches vor allem im Industriesektor eingesetzt wird.
Im Januar 2024 kam es zu einem Cyberangriff eines russischen Akteurs auf ein ukrainisches Strom- und Energieunternehmen in Lwiw bei dem
wahrscheinlich FrostyGoop zum Einsatz kam. Der erfolgreiche Angriff führte zu einem zweitägigen Storm- und Heizungsausfall bei
rund 600 Haushalten.
Aufgrund des weit verbreiteten Einsatzes von Modbus-Geräten empfiehlt Dragos daher ICS-Netzwerke transparent zu machen und den
Modbus-Verkehr zu überwachen. Das Erkennen von verdächtigem Netzwerkverkehr und die Identifizierung von Angriffsmustern und
Verhaltensweisen, die das Modbus-Protokoll ausnutzen, sind dabei von entscheidender Bedeutung.
Dragos stellt hierzu einen ausführlichen Bericht mit IOCs und Handlungsempfehlungen zur Verfügung. Die Cyberabwehr empfiehlt daher allen Betreibern von ICS, die das Modbus-Protokoll nutzen, zur Umsetzung der von Dragos zur Verfügung gestellten Empfehlungen sowie zur Prüfung der eigenen Systeme anhand der IOC.