Scoperto per la prima volta durante la guerra in Ucraina nell’aprile 2024, la società di cybersicurezza Dragos ha ribattezzato il malware FrostyGoop, descrivendolo come il primo ceppo di malware che utilizza direttamente le comunicazioni Modbus TCP per sabotare le reti operations (OT).
FrostyGoop è un malware specifico per ICS scritto in Golang, che può interagire direttamente con i sistemi di controllo industriale (ICS) utilizzando Modbus. Si ritiene inoltre che sia stato progettato principalmente per colpire i sistemi Windows, con PLC ENCO con la porta TCP 502 esposta a Internet.
Inoltre il malware è dotato di funzionalità avanzate, di lettura e scrittura sui registri contenenti ingressi, uscite e dati di configurazione. Accetta inoltre argomenti opzionali per l’esecuzione da riga di comando, utilizzando file di configurazione in formato JSON per specificare gli indirizzi IP di destinazione e comandi Modbus opzionali.
Le capacità del malware ha gravi conseguenze per le operazioni industriali e la sicurezza pubblica, ha dichiarato Dragos, aggiungendo che più di 46.000 dispositivi ICS esposti su internet rappresentano una grave minaccia per le infrastrutture critiche in diversi settori. Ad oggi non è stato ancora collegato ad alcun attore o gruppo hacker specifico.