Пов’язані з росією хакери відключили опалення в 600 українських житлових будинках серед зими, кажуть дослідники

Пов’язані з росією хакери відключили опалення у 600 українських житлових будинках серед зими — дослідники

24 Липня, 2024 Vitaliy Kairov Dragos, FrostyGoop, Modbus193 переглядів 2 хв. читання

⠀Поширити:

Кібербезпекова компанія Dragos виявила малвар, що може атакувати системи промислового контролю (ICS), змушуючи їх до шкідливої поведінки, як-от відключення тепла та гарячої води посеред зими. Engadget з посиланням на TechCrunch повідомляє, що саме це сталося у січні 2024 року у Львові, коли мешканці понад 600 багатоквартирних будинків залишилися без тепла на два дні в умовах морозу.

Також цікаво: Масова кібератака російських хакерів на українські Телеграм-канали — відомі деталі

FrostyGoop: небезпечний малвар для промислових систем

Dragos зазначає, що FrostyGoop є лише дев’ятим відомим малваром, розробленим для атак на промислові контролери. Це також перший малвар, який націлився на Modbus — широко розповсюджений комунікаційний протокол, винайдений у 1979 році. Modbus часто використовується у промислових середовищах, таких як той, на який напав FrostyGoop у Львові.

Атака на львівську тепломережу

Центр ситуацій з кібербезпеки України (CSSC), урядова агенція, яка займається цифровою безпекою, поділився інформацією про атаку з Dragos після того, як у квітні цього року виявив малвар, через кілька місяців після нападу. Шкідливий код, написаний на Go (програмна мова, розроблена Google), взаємодіяв з промисловими системами контролю через відкритий інтернет-порт (502).

Як хакери проникли в систему

Зловмисники, ймовірно, отримали доступ до львівської промислової мережі у квітні 2023 року, експлуатуючи невизначену вразливість у зовнішньому маршрутизаторі Mikrotik. Вони встановили інструмент віддаленого доступу, який дозволив обійти необхідність локальної установки малвару, що допомогло уникнути виявлення.

Хакери понизили версію прошивки контролера до тієї, що не мала можливостей моніторингу, що допомогло приховати їхні сліди. Замість того, щоб повністю знищити системи, вони змусили контролери передавати невірні дані, що призвело до втрати тепла в умовах сильного морозу.

Кібернапад як психологічний тиск

Dragos дотримується політики нейтралітету у кібернападах, зосереджуючись на освіті без вказування на винних. Однак, компанія відзначила, що зловмисники відкрили захищені з’єднання (використовуючи протокол тунелювання другого рівня) з IP-адресами, що базуються в москві.

Дослідник Dragos Марк “Magpie” Грем сказав TechCrunch, що це, ймовірно, було психологічною операцією, здійсненою через кіберзасоби, оскільки кінетичні методи в цьому випадку могли не бути найкращим вибором. Львів розташований у західній частині України, яку набагато складніше досягти росії, ніж східні міста.

Загроза глобальній безпеці

Dragos попереджає, що враховуючи поширеність протоколу Modbus у промислових середовищах, FrostyGoop може бути використаний для порушення аналогічних систем по всьому світу. Компанія рекомендує постійний моніторинг, зазначаючи, що FrostyGoop уникнув виявлення вірусами, підкреслюючи необхідність моніторингу мережі для виявлення майбутніх загроз до їхнього удару. Зокрема, Dragos радить операторам ICS використовувати 5 критичних контролів SANS для кібербезпеки OT світового класу — безпековий каркас для операційних середовищ.