Компанія з кібербезпеки Dragos опублікувала звіт з подробицями про нове шкідливе програмне забезпечення під назвою FrostyGoop. Кібератака призвела до того, що взимку у Львові на два дні вимикали опалення, щоб підірвати моральний дух українців, вважають дослідники.
Компанія з кібербезпеки Dragos опублікувала звіт з подробицями про нове шкідливе програмне забезпечення під назвою FrostyGoop. Кібератака призвела до того, що взимку у Львові на два дні вимикали опалення, щоб підірвати моральний дух українців, вважають дослідники.
За словами компанії, цей софт призначений для атак на промислові системи управління, зокрема проти одного з типів контролерів системи опалення. Про це йдеться в матеріалі Tech Crunch.
Дослідники Dragos написали у своєму звіті, що вперше виявили шкідливе програмне забезпечення у квітні. На той момент Dragos не мав більше інформації про FrostyGoop, окрім зразка шкідливого програмного забезпечення, і вважав, що воно використовувалося лише для тестування. Однак згодом представники української влади повідомила Dragos, що знайшли докази того, що шкідливе програмне забезпечення активно використовувалося під час кібератаки у Львові пізно ввечері з 22 на 23 січня.
«І це призвело до втрати опалення у понад 600 багатоквартирних будинках майже на 48 годин», — сказав Марк Грем, дослідник Dragos. Дослідники Dragos Грем, Кайл О’Міра і Керолін Алерс написали у звіті, що «усунення наслідків інциденту зайняло майже два дні, протягом яких цивільному населенню довелося терпіти мінусову температуру».
Це вже третій відомий випадок відключення електроенергії, пов’язаний з кібератаками, від яких постраждали українці за останні роки. Хоча дослідники кажуть, що шкідливе програмне забезпечення навряд чи спричинить масштабні відключення, це свідчить про посилення зусиль зловмисників, спрямованих на об'єкти критичної інфраструктури, такі як енергетичні мережі.
За словами Dragos, шкідливе програмне забезпечення FrostyGoop призначене для взаємодії з промисловими пристроями управління (ICS) через Modbus — протокол, який вже десятиліттями широко використовується в усьому світі для управління пристроями в промисловому середовищі, а це означає, що FrostyGoop може бути використаний для атак на інші компанії та об'єкти в будь-якій точці земної кулі.
«Сьогодні існує щонайменше 46 000 пристроїв ICS, доступних в Інтернеті, які підтримують Modbus», — сказав Грем журналістам.
Dragos зазначають, що FrostyGoop є дев’ятим шкідливим програмним забезпеченням для ICS, з яким він зіткнувся за останні роки. Найвідомішим з них є Industroyer (також відомий як CrashOverride), який був використаний сумнозвісною хакерською групою Sandworm, пов’язаною з російським урядом, для вимкнення світла в Києві, а згодом для відключення електричних підстанцій в Україні. Окрім цих кібератак, спрямованих на Україну, Dragos також бачив Triton, який був застосований проти саудівського нафтохімічного заводу, а пізніше — проти другого невідомого об'єкту; і шкідливе програмне забезпечення CosmicEnergy, яке було виявлено Mandiant минулого року.
Дослідники Dragos пишуть, що, на їхню думку, хакери, які контролюють шкідливе програмне забезпечення FrostyGoop, спочатку отримали доступ до мережі муніципальної енергетичної компанії-мішені, скориставшись вразливістю в маршрутизаторі Mikrotik, який був підключений до інтернету. Дослідники заявили, що маршрутизатор не був «належним чином сегментований» разом з іншими серверами й контролерами, в тому числі китайської компанії ENCO.
Грем повідомив, що вони знайшли відкриті контролери ENCO в Литві, Україні та Румунії, ще раз підкресливши, що хоча цього разу FrostyGoop був використаний для цілеспрямованої атаки у Львові, хакери, які його контролюють, можуть націлити шкідливе програмне забезпечення і на інші місця.
«Зловмисники не намагалися знищити контролери. Замість цього вони змусили контролери повідомляти про неточні вимірювання, що призвело до неправильної роботи системи і втрати тепла для клієнтів», — написали дослідники.
Під час розслідування, за словами дослідників, вони дійшли висновку, що хакери «ймовірно, отримали доступ» до цільової мережі у квітні 2023 року, майже за рік до розгортання шкідливого програмного забезпечення та відключення тепла. У наступні місяці хакери продовжували отримувати доступ до мережі, а 22 січня 2024 року під'єдналися до неї через московські IP-адреси.
Попри це, Dragos не вказали на жодну відому хакерську групу чи уряд як на відповідальних за це кібератаку, оскільки компанія не змогла знайти зв’язку з попередньою діяльністю або інструментами, а також через давню політику компанії не приписувати кібератаки.
Грем зазначив, що він і його колеги вважають, що ця підривна операція була проведена через Інтернет, а не через запуск ракети, ймовірно, як спроба підірвати моральний дух українців.
«Я думаю, що тут йдеться про психологічну атаку, здійснену за допомогою кіберзасобів, коли кінетичні засоби, можливо, не були найкращим вибором», — сказав Грехем.
Нагадаємо, що російські хакери угрупування Sandworm, які підпорядковуються Кремлю, уже кілька разів зламували українські електромережі. Про це повідомила у своєму дослідженні американська компанія Mandiant, яка входить до складу Google та співпрацює з українською владою.
