Протягом 2 днів у середині січня мешканці Львова були змушені жити без центрального опалення і страждати від холоду через кібератаку на муніципальну енергетичну компанію. Такого висновку дійшли дослідники безпеки й українська влада, повідомляє TechCrunch.
Компанія з кібербезпеки Dragos опублікувала звіт із подробицями про нове шкідливе програмне забезпечення під назвою FrostyGoop. Воно націлене на промислові системи керування — у цьому конкретному випадку на контролера системи опалення.
Дослідники Dragos зазначили, що вперше виявили шкідливе програмне забезпечення у квітні. На той момент Dragos не мав більше інформації про FrostyGoop, окрім зразка зловмисного програмного забезпечення, і вважав, що воно використовувалося лише для тестування. Однак пізніше українська влада попередила Dragos, що знайшла докази того, що зловмисне програмне забезпечення активно використовувалося під час кібератаки у Львові у ніч із 22 на 23 січня.
«Це призвело до втрати опалення понад 600 багатоквартирних будинків майже на 48 годин», — сказав Марк «Сорока» Грехем, дослідник Dragos.
Дослідники Dragos Грехем, Кайл О’Міра та Керолін Алерс пишуть у звіті, що ліквідація інциденту зайняла майже 2 дні, протягом яких цивільне населення витримувало мінусову температуру повітря.
Це вже третій відомий збій, пов’язаний із кібератаками, який завдав шкоди українцям за останні роки війни. Хоча дослідники стверджують, що зловмисне програмне забезпечення навряд чи спричинить масові збої, це свідчить про збільшення зусиль хакерів, спрямованих на критичну інфраструктуру, як-от енергетичні мережі.
За словами фахівців Dragos, зловмисне ПЗ FrostyGoop розроблено для взаємодії із промисловими пристроями керування (ICS) через Modbus — протокол, який широко використовується в усьому світі для керування пристроями у промислових середовищах. Це означає, що FrostyGoop можна використовувати для націлювання на інші компанії та об’єкти будь-де.
«Сьогодні існує щонайменше 46 тисяч пристроїв ICS, які мають доступ до Інтернету й підтримують Modbus», — сказав Грем журналістам.
У Dragos стверджують, що FrostyGoop є дев’ятим зловмисним програмним забезпеченням для ICS, з яким вони стикалися за останні роки. Найвідомішим із них є Industroyer (також відомий як CrashOverride), який використовувався сумнозвісною хакерською групою Sandworm, пов’язаною з російським урядом, щоб вимкнути світло в Києві, а згодом — відключити електропідстанції в Україні.
Окрім тих кібератак, спрямованих на Україну, Dragos також бачив Triton, який був розгорнутий проти нафтохімічного заводу в Саудівській Аравії та проти невідомого другого об’єкта пізніше. А ще шкідливе програмне забезпечення CosmicEnergy, яке було виявлено Mandiant минулого року.
Дослідники Dragos пишуть, що хакери, які контролюють зловмисне програмне забезпечення FrostyGoop, спочатку отримали доступ до цільової мережі муніципальної енергетичної компанії, скориставшись вразливістю в інтернет-роутері Mikrotik.
Дослідники заявили, що маршрутизатор не був належним чином сегментований разом з іншими серверами та контролерами, включно з тим, який виготовила китайська компанія ENCO.
Грехем сказав, що вони знайшли відкриті контролери ENCO в Литві, Україні та Румунії, ще раз підкресливши, що, хоча FrostyGoop цього разу використовувався для цілеспрямованої атаки у Львові, хакери, які контролюють ПЗ, могли націлитись і на інші жертви.
Під час розслідування дослідники дійшли висновку, що хакери, можливо, отримали доступ до цільової мережі у квітні 2023 року, майже за рік до розгортання шкідливого програмного забезпечення та відключення тепла. У наступні місяці вони продовжували доступ до мережі, а 22 січня 2024 року підключилися через московські IP-адреси.
Незважаючи на російські IP-адреси, Dragos не вказав на будь-яку відому конкретну хакерську групу чи уряд як відповідальних за цей кіберзбій.
Головний технічний директор Dragos Філ Тонкінг сказав, що важливо не недооцінювати FrostyGoop і неправильно вважати, що воно незворотньо призведе до руйнування національної електромережі.
Читайте також на ProIT: В Іспанії заарештували трьох проросійських хакерів за кібератаки з терористичною метою.
Також ми розповідали про глобальний кіберзбій у CrowdStrike, який зупинив авіарейси та зривав роботу бізнесу у світі. Українські компанії теж постраждали.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!