Протягом двох днів у середині січня 2024 року деяким українцям у місті Львові довелося жити без центрального опалення та страждати від морозів через кібератаку на муніципальну енергетичну компанію. Про це повідомила компанія з кібербезпеки Dragos, яка опублікувала звіт із деталями про нове шкідливе програмне забезпечення під назвою FrostyGoop. Воно, за словами компанії, призначене для націлювання на промислові системи керування — у цьому конкретному випадку, зокрема проти типу контролера системи опалення.
Дослідники Dragos пишуть у своєму звіті, що вони вперше виявили шкідливе програмне забезпечення у квітні. На той момент Dragos не мав більше інформації про FrostyGoop, окрім зразка зловмисного програмного забезпечення, і вважав, що воно використовувалося лише для тестування. Однак пізніше українська влада попередила Dragos, що знайшла докази того, що шкідливе програмне забезпечення активно використовувалося під час кібератаки у Львові пізно ввечері 22-23 січня 2024 року.
«І це призвело до втрати опалення понад 600 багатоквартирних будинків майже на 48 годин», — сказав Марк Грем, дослідник Dragos, під час телефонної розмови з журналістами.
Речник Ради безпеки України повідомив TechCrunch в електронному листі, що «брав участь у заходах реагування» після атаки.
«Як результат: наслідки кібератаки були швидко нейтралізовані, а послуги відновлені», — йдеться в електронному листі речника. Прес-секретар підтвердив, що атака сталася в січні 2024 року і що вона торкнулася «понад 600 домогосподарств у місті». Речник також зазначив, що хакери атакували «інформаційно-комунікаційну інфраструктуру «Львівтеплоенерго», яке є великим постачальником тепла та гарячої води.
Дослідники Dragos Грехем, Кайл О’Міра та Керолін Алерс пишуть у звіті, що ліквідація інциденту зайняла майже два дні, протягом яких цивільне населення витримало мінусову температуру.
Це третій відомий збій, пов’язаний з кібератаками, який торкнувся українців за останні роки.
Хоча дослідники стверджують, що зловмисне програмне забезпечення навряд чи спричинить масові збої, це свідчить про збільшення зусиль зловмисних хакерів, спрямованих на критичну інфраструктуру, як-от енергетичні мережі.
За словами представників Драгоса, зловмисне програмне забезпечення FrostyGoop розроблено для взаємодії з промисловими пристроями керування (ICS) через Modbus, протокол десятилітньої давності, який широко використовується в усьому світі для керування пристроями в промислових середовищах. Це означає, що FrostyGoop можна використовувати для націлювання на інші компанії та об’єкти будь-де.
У Драгос сказали, що FrostyGoop є дев’ятим зловмисним програмним забезпеченням для ICS, з яким вони стикався за останні роки. Найвідомішим із них є Industroyer (також відомий як CrashOverride), який використовувався сумнозвісною пов’язаною з російським урядом хакерською групою Sandworm, щоб вимкнути світло в Києві, а згодом – відключити електропідстанції в Україні.
Крім тих кібератак, спрямованих на Україну, Драгос також бачив Triton, який був розгорнутий проти нафтохімічного заводу в Саудівській Аравії та проти невідомого другого об’єкта пізніше; і зловмисне програмне забезпечення CosmicEnergy, яке було виявлено Mandiant минулого року .
Дослідники Dragos пишуть, що вони вважають, що хакери, які контролюють зловмисне програмне забезпечення FrostyGoop, вперше отримали доступ до цільової мережі муніципальної енергетичної компанії, скориставшись уразливістю в інтернет-маршрутизаторі MikroTik. Дослідники заявили, що маршрутизатор не був належним чином сегментований разом з іншими серверами та контролерами.
Під час розслідування дослідники заявили, що вони дійшли висновку, що хакери, можливо, отримали доступ до цільової мережі у квітні 2023 року, майже за рік до розгортання шкідливого програмного забезпечення та відключення тепла. У наступні місяці хакери продовжували доступ до мережі, а 22 січня 2024 року підключилися через московські IP-адреси, йдеться у звіті.
Незважаючи на російські IP-адреси, Dragos не вказав пальцем на будь-яку відому конкретну хакерську групу чи уряд як відповідальних за цей кібер-збій, оскільки компанія не змогла знайти зв’язку з попередньою діяльністю чи інструментами, а також через давню політику компанії щодо неприписування кібератак, сказав Грем.
Нарешті, головний технічний директор Dragos Філ Тонкін сказав, що хоча важливо не недооцінювати FrostyGoop, важливо також не розкручувати його.