FrostyGoop und der kalte Cyberkrieg: Wie Schadsoftware kritische Infrastruktur in Lwiw lahmlegte

Im Januar 2024 legte ein Cyberangriff die Heizung in fast 600 Gebäuden in Lwiw für 48 Stunden lahm, bei Temperaturen um den Gefrierpunkt. Verantwortlich war eine Schadsoftware, die das Unternehmen Dragos FrostyGoop nannte und die Industriegeräte über das Modbus-Protokoll angriff. Es ist einer der wenigen öffentlich bestätigten Fälle, in denen ein Cyberangriff unmittelbar den Komfort und die Sicherheit der Bewohner traf. Wir erklären, wie das möglich war und was daraus für Betreiber von Infrastruktur folgt.
Was in Lwiw geschah
Dragos, ein auf die Sicherheit industrieller Systeme (ICS und OT) spezialisiertes Unternehmen, analysierte den Vorfall und identifizierte die Schadsoftware hinter dem Angriff; es gab ihr den Namen FrostyGoop. Der Angreifer griff nicht zu einem raffinierten Exploit, sondern zum gewöhnlichen Industrieprotokoll Modbus.
Das war kein Datenabfluss und keine blockierte E-Mail. Es war eine physische Folge eines Cyberangriffs: kalte Wohnungen mitten im Winter. Genau darin unterscheidet sich ein Angriff auf OT von einem typischen IT-Vorfall.
Modbus, ein Protokoll ohne Authentifizierung
Modbus ist eines der verbreitetsten Kommunikationsprotokolle in der Industrie, entwickelt 1979. Trotz seines Alters ist es noch überall im Einsatz, weil es einfach ist und selten ausfällt. Geräte praktisch aller großen Automatisierungshersteller unterstützen es.
Der Haken: Modbus entstand, bevor Netzwerksicherheit ein Thema wurde. In der TCP/IP-Variante gibt es weder Authentifizierung noch Autorisierung. Um einem Gerät einen Befehl zu schicken, genügt es, seine IP-Adresse, den Port (meist 502) und die Gerätekennung zu kennen.
Wie FrostyGoop funktioniert
FrostyGoop ist ein Windows-Programm in der Sprache Go, das öffentlich verfügbare Modbus-Bibliotheken nutzt. Es verhält sich wie ein gewöhnlicher Modbus-TCP/IP-Client: Es kann Register von Geräten auslesen und überschreiben.
Genau darin liegt seine Stärke. Register enthalten die Parameter, die den Betrieb von Industriegeräten steuern. Trägt ein Angreifer dort falsche Werte ein, verändert er das reale Verhalten der Hardware. Schlimmer noch: Der Verkehr von FrostyGoop sieht aus wie legitime Modbus-Kommunikation und lässt sich daher kaum vom normalen Systembetrieb unterscheiden.
Laut Dragos gelangten die Angreifer höchstwahrscheinlich über eine Lücke in einem Router in das Netz des Opfers und schickten anschließend schädliche Befehle direkt an die Steuerungen des Heizsystems der Marke ENCO. Zusätzlich stuften sie die Geräte aus der Ferne herab. Die Messwerte wurden dadurch ungenau, und die Betreiber verloren den Überblick.
Wie gefährlich diese Art von Angriff ist
Das größte Risiko betrifft Modbus-TCP/IP-Geräte, die direkt ins Internet gestellt sind. Da das Protokoll keine Authentifizierung verlangt, kann jeder, der sie erreicht, versuchen, die Registerwerte zu ändern.
Das Ausmaß ist real. Dragos schätzte, dass von rund 640.000 Geräten mit offenem Port 502 im Internet etwa 46.000 verwundbar sein könnten. Die zweite Risikostufe sind Geräte in internen Netzen: Ist ein Angreifer erst einmal drin, werden sie zum leichten Ziel.
Wie Sie Modbus- und OT-Geräte schützen
Eine Regel zählt am meisten: Industriegeräte sollten nicht direkt aus dem Internet erreichbar sein. Darüber hinaus lohnen sich weitere Schutzschichten, angelehnt an die Gegenmaßnahmen aus MITRE ATT&CK for ICS.
Was FrostyGoop lehrt
FrostyGoop hat gezeigt, dass ein Angriff auf OT keine Theorie ist. Ein einfaches Protokoll ohne Authentifizierung, ein ins Netz gestelltes Gerät und eine Router-Lücke reichten, um Hunderten von Gebäuden die Heizung abzudrehen.
Für Betreiber kritischer Infrastruktur ist die Lehre praktisch: OT-Sicherheit ist kein Zusatz zur IT, sondern die Voraussetzung für den laufenden Betrieb und die Sicherheit von Menschen.
Möchten Sie prüfen, ob Ihre Industriegeräte exponiert und für einen solchen Angriff anfällig sind? Vereinbaren Sie eine kostenlose Beratung. Wir ermitteln die Angriffsfläche Ihrer OT-Umgebung und zeigen Ihnen, was zuerst abzusichern ist.
Vereinbaren Sie eine kostenlose Beratung, und wir prüfen, ob Ihre Industrieinfrastruktur für einen Angriff wie FrostyGoop anfällig ist.