В течение двух дней в середине января 2024 года некоторым украинцам во Львове пришлось жить без центрального отопления и страдать от морозов из-за кибератаки муниципальной энергетической компанией. Об этом сообщила компания по кибербезопасности Dragos, опубликовавшая отчет с деталями о новом вредоносном программном обеспечении под названием FrostyGoop. Оно, по словам компании, предназначено для нацеливания на промышленные системы управления — в данном конкретном случае, в частности, против типа контроллера системы отопления.
Исследователи Dragos пишут в своем отчете, что они впервые обнаружили вредоносное программное обеспечение в апреле. На тот момент у Dragos не было больше информации о FrostyGoop, кроме образца вредоносного программного обеспечения, и считал, что оно использовалось только для тестирования. Однако позже украинские власти предупредили Dragos, что нашли доказательства того, что вредоносное программное обеспечение активно использовалось во время кибератаки во Львове поздно вечером 22-23 января 2024 года.
«И это привело к потере отопления более 600 многоквартирных домов почти на 48 часов», — сказал Марк Грэм, исследователь Dragos, во время телефонного разговора с журналистами.
Представитель Совета безопасности Украины сообщил TechCrunch в электронном письме, что «участвовал в мероприятиях реагирования» после атаки.
«Как результат: последствия кибератаки были быстро нейтрализованы, а услуги возобновлены», — говорится в электронном письме спикера. Пресс-секретарь подтвердил, что атака произошла в январе 2024 года и что она затронула «более 600 домохозяйств в городе». Спикер также отметил, что хакеры атаковали «информационно-коммуникационную инфраструктуру «Львовтеплоэнерго», которое является крупным поставщиком тепла и горячей воды.
Исследователи Dragos Грэхэм, Кайл О’Мира и Кэролин Алерс пишут в отчете, что ликвидация инцидента заняла почти два дня, в течение которых гражданское население выдержало минусовую температуру.
Это третий известный сбой, связанный с кибератаками, затронутыми украинцами за последние годы.
Хотя исследователи утверждают, что вредоносное программное обеспечение вряд ли повлечет за собой массовые сбои, это свидетельствует об увеличении усилий злонамеренных хакеров, направленных на критическую инфраструктуру, таких как энергетические сети.
По словам представителей Драгоса, злонамеренное программное обеспечение FrostyGoop разработано для взаимодействия с промышленными устройствами управления (ICS) через Modbus, протокол десятилетней давности, который широко используется во всем мире для управления устройствами в промышленных средах. Это означает, что FrostyGoop можно использовать для таргетинга на другие компании и объекты в любом месте.
В Драгосе сказали, что FrostyGoop является девятым вредоносным программным обеспечением для ICS, с которым они сталкивался за последние годы. Самым известным из них является Industroyer (также известный как CrashOverride), использовавшийся печально известной связанной с российским правительством хакерской группой Sandworm, чтобы выключить свет в Киеве, а затем отключить электроподстанции в Украине.
Помимо кибератак, направленных на Украину, Драгос также видел Triton, который был развернут против нефтехимического завода в Саудовской Аравии и против неизвестного второго объекта позже; и злонамеренное программное обеспечение CosmicEnergy, которое было обнаружено Mandiant в прошлом году.
Исследователи Dragos пишут, что они считают, что хакеры, контролирующие вредоносное ПО FrostyGoop, впервые получили доступ к целевой сети муниципальной энергетической компании, воспользовавшись уязвимостью в интернет-маршрутизаторе MikroTik. Исследователи заявили, что маршрутизатор не был должным образом сегментирован вместе с другими серверами и контроллерами.
В ходе расследования исследователи заявили, что они пришли к выводу, что хакеры, возможно, получили доступ к целевой сети в апреле 2023 года почти за год до развертывания вредоносного программного обеспечения и отключения тепла. В последующие месяцы хакеры продолжали доступ к сети, а 22 января 2024 подключились через московские IP-адреса, говорится в отчете.
Несмотря на российские IP-адреса, Dragos не указал пальцем на какую-либо известную хакерскую группу или правительство как ответственных за этот кибер-сбой, поскольку компания не смогла найти связи с предыдущей деятельностью или инструментами, а также из-за давней политики компании относительно неприписывание кибератак, сказал Грэм.
Наконец, главный технический директор Dragos Фил Тонкин сказал, что хотя важно недооценивать FrostyGoop, важно также не раскручивать его.