Вівторок, 5 Листопада, 2024

600 будинків Львова опинилися без тепла у січні через хакерську атаку

Протягом двох днів у середині січня 2024 року деяким українцям у місті Львові довелося жити без центрального опалення та страждати від морозів через кібератаку на муніципальну енергетичну компанію. Про це повідомила компанія з кібербезпеки Dragos, яка опублікувала звіт із деталями про нове шкідливе програмне забезпечення під назвою FrostyGoop. Воно, за словами компанії, призначене для націлювання на промислові системи керування — у цьому конкретному випадку, зокрема проти типу контролера системи опалення.

Дослідники Dragos пишуть у своєму звіті, що вони вперше виявили шкідливе програмне забезпечення у квітні. На той момент Dragos не мав більше інформації про FrostyGoop, окрім зразка зловмисного програмного забезпечення, і вважав, що воно використовувалося лише для тестування. Однак пізніше українська влада попередила Dragos, що знайшла докази того, що шкідливе програмне забезпечення активно використовувалося під час кібератаки у Львові пізно ввечері 22-23 січня 2024 року.

«І це призвело до втрати опалення понад 600 багатоквартирних будинків майже на 48 годин», — сказав Марк Грем, дослідник Dragos, під час телефонної розмови з журналістами.

Речник Ради безпеки України повідомив TechCrunch в електронному листі, що «брав участь у заходах реагування» після атаки.

«Як результат: наслідки кібератаки були швидко нейтралізовані, а послуги відновлені», — йдеться в електронному листі речника. Прес-секретар підтвердив, що атака сталася в січні 2024 року і що вона торкнулася «понад 600 домогосподарств у місті». Речник також зазначив, що хакери атакували «інформаційно-комунікаційну інфраструктуру «Львівтеплоенерго», яке є великим постачальником тепла та гарячої води.

Дослідники Dragos Грехем, Кайл О’Міра та Керолін Алерс пишуть у звіті, що ліквідація інциденту зайняла майже два дні, протягом яких цивільне населення витримало мінусову температуру.

Це третій відомий збій, пов’язаний з кібератаками, який торкнувся українців за останні роки.

Хоча дослідники стверджують, що зловмисне програмне забезпечення навряд чи спричинить масові збої, це свідчить про збільшення зусиль зловмисних хакерів, спрямованих на критичну інфраструктуру, як-от енергетичні мережі.

За словами представників Драгоса, зловмисне програмне забезпечення FrostyGoop розроблено для взаємодії з промисловими пристроями керування (ICS) через Modbus, протокол десятилітньої давності, який широко використовується в усьому світі для керування пристроями в промислових середовищах. Це означає, що FrostyGoop можна використовувати для націлювання на інші компанії та об’єкти будь-де.

У Драгос сказали, що FrostyGoop є дев’ятим зловмисним програмним забезпеченням для ICS, з яким вони стикався за останні роки. Найвідомішим із них є Industroyer (також відомий як CrashOverride), який використовувався сумнозвісною пов’язаною з російським урядом хакерською групою Sandworm, щоб вимкнути світло в Києві, а згодом – відключити електропідстанції в Україні.

Крім тих кібератак, спрямованих на Україну, Драгос також бачив Triton, який був розгорнутий проти нафтохімічного заводу в Саудівській Аравії та проти невідомого другого об’єкта пізніше; і зловмисне програмне забезпечення CosmicEnergy, яке було виявлено Mandiant минулого року .

Дослідники Dragos пишуть, що вони вважають, що хакери, які контролюють зловмисне програмне забезпечення FrostyGoop, вперше отримали доступ до цільової мережі муніципальної енергетичної компанії, скориставшись уразливістю в інтернет-маршрутизаторі MikroTik. Дослідники заявили, що маршрутизатор не був належним чином сегментований разом з іншими серверами та контролерами.

Під час розслідування дослідники заявили, що вони дійшли висновку, що хакери, можливо, отримали доступ до цільової мережі у квітні 2023 року, майже за рік до розгортання шкідливого програмного забезпечення та відключення тепла. У наступні місяці хакери продовжували доступ до мережі, а 22 січня 2024 року підключилися через московські IP-адреси, йдеться у звіті.

Незважаючи на російські IP-адреси, Dragos не вказав пальцем на будь-яку відому конкретну хакерську групу чи уряд як відповідальних за цей кібер-збій, оскільки компанія не змогла знайти зв’язку з попередньою діяльністю чи інструментами, а також через давню політику компанії щодо неприписування кібератак, сказав Грем.

Нарешті, головний технічний директор Dragos Філ Тонкін сказав, що хоча важливо не недооцінювати FrostyGoop, важливо також не розкручувати його.

 

НАПИСАТИ ВІДПОВІДЬ

Коментуйте, будь-ласка!
Будь ласка введіть ваше ім'я

Євген
Євген
Євген пише для TechToday з 2012 року. Інженер за освітою. Захоплюється реставрацією старих автомобілів.

Vodafone

Залишайтеся з нами

10,052Фанитак
1,445Послідовникислідувати
105Абонентипідписуватися