Хакеры выключили отопление в украинском городе с помощью вредоносного ПО, утверждают исследователи
В течение двух дней в середине января некоторые жители города Львов в Украине были вынуждены обходиться без центрального отопления и столкнуться с морозными температурами из-за кибератаки на муниципальную энергетическую компанию, как пришли к заключению исследователи по безопасности и украинские власти.
Во вторник кибербезопасностная компания Dragos опубликовала отчет с деталями о новом вредоносном ПО под названием FrostyGoop, которое, по мнению компании, разработано для атаки на промышленные системы управления - в данном случае, специально на контроллер системы отопления.
Исследователи Dragos написали в своем отчете, что они впервые обнаружили вредоносное ПО в апреле. На тот момент у Dragos не было больше информации о FrostyGoop, кроме образца вредоносного ПО, и они считали, что оно использовалось только для тестирования. Однако позже украинские власти предупредили Dragos, что у них есть доказательства того, что вредоносное ПО активно использовалось в кибератаке в Львове с позднего вечера 22 января по 23 января.
"Это привело к отключению отопления в более чем 600 жилых домах на почти 48 часов", - сказал Марк «Сорока» Грэм, исследователь из Dragos, во время звонка с журналистами, которые были проинформированы о отчете перед его публикацией.
Представитель Совета безопасности Украины сообщил TechCrunch по электронной почте, что "был замешан в мерах по реагированию" после атаки.
"В результате следствия кибератака быстро были нейтрализованы, и услуги были восстановлены", - сказал представитель в электронном письме, которое было машинно переведено, поскольку было написано на украинском языке. Представитель подтвердил, что атака произошла в январе 2024 года и затронула "более 600 домов в городе". Представитель также сказал, что хакеры атаковали "информационно-коммуникационную инфраструктуру ЛьвовТеплоЭнерго", крупного поставщика тепла и горячей воды.
Исследователи из Dragos Грэм, Кайл О'Мира и Кэролин Олерс написали в отчете, что "ликвидация инцидента заняла почти двое суток, в течение которых гражданское население пришлось переносить субнулевые температуры".
Это третье известное отключение, связанное с кибератаками, которое случилось с украинцами за последние несколько лет. Исследователи сказали, что вредоносное ПО не вероятно вызовет масштабных отключений, но это показывает увеличенные усилия злонамеренных хакеров в целях атаки на критическую инфраструктуру, такую как энергетические сети.
Вредоносное ПО FrostyGoop предназначено для взаимодействия с промышленными устройствами управления (ICS) по протоколу Modbus, который многие десятилетия широко используется по всему миру для управления устройствами в промышленных средах, что означает, что FrostyGoop может быть использован для атаки на другие компании и объекты в любом месте, согласно Dragos.
"Сейчас по крайней мере 46 000 устройств ICS, доступных в Интернете, позволяют работать с Modbus", - сказал Грэм журналистам.
Dragos заявили, что FrostyGoop - девятый специфический для ICS вредоносный программный продукт, с которым они столкнулись за годы своей деятельности. Самые известные из них: Индустрия (также известный как CrashOverride), который использовался зловредным российским государственным хакерским группировкой Sandworm для отключения света в Киеве и, позже, для отключения электрических подстанций в Украине. За пределами этих кибератак, направленных против Украины, Dragos также видел Тритон, который использовался против саудовского нефтеперерабатывающего завода и против неизвестного второго объекта впоследствии; и вредоносное ПО CosmicEnergy, которое было обнаружено компанией Mandiant в прошлом году.
Свяжитесь с нами
У вас есть больше информации об этой кибератаке? Или о подобных атаках на ICS в Украине и за ее пределами? С вашего личного устройства вы можете связаться с Лоренцо Франчески-Биккерай безопасно по Сигналу по номеру +1 917 257 1382, или через Telegram и Keybase @lorenzofb, или по электронной почте. Вы также можете связаться с TechCrunch через SecureDrop.Исследователи Dragos написали, что они считают, что хакеры, контролирующие вредоносное ПО FrostyGoop, впервые получили доступ к сети целевой муниципальной энергетической компании, эксплуатируя уязвимость в обозначенном интернет-маршрутизаторе MikroTik. Исследователи заявили, что маршрутизатор не был достаточно сегментирован вместе с другими серверами и контроллерами, включая один, произведенный китайской компанией ENCO.
Грэм заявил в ходе звонка, что они обнаружили открытые контроллеры ENCO в Литве, Украине и Румынии, подчеркивая еще раз, что хотя FrostyGoop был использован в данной направленной атаке в Львове на этот раз, контролирующие хакеры могут направить вредоносное ПО в другое место.
ENCO и его сотрудники не немедленно ответили на запросы TechCrunch.
"Противники не пытались уничтожить контроллеры. Вместо этого противники заставили контроллеры давать неточные измерения, что привело к некорректной работе системы и потере отопления для клиентов", - написали исследователи.
В ходе расследования исследователи пришли к выводу, что хакеры "вероятно получили доступ" к целевой сети в апреле 2023 года, почти год до того, как развернули вредоносное ПО и отключили отопление. В последующие месяцы хакеры продолжали получать доступ к сети, и 22 января 2024 года подключились к сети через IP-адреса, зарегистрированные в Москве, согласно отчету.
Несмотря на российские IP-адреса, Dragos не обвиняют ни в какой известной конкретной хакерской группе или правительстве в ответственности за эту кибератаку, поскольку компания не смогла найти связей с предыдущей деятельностью или инструментами, и из-за долгосрочной политики компании по невыведению кибератак, сказал Грэм.
То, что Грэм сказал, это то, что он и его коллеги верят, что действие обрушивания было проведено через интернет - в отличие от запуска ракет на объект - вероятно, как попытка подорвать мораль украинцев, живущих там.
"Я думаю, что это в большей степени психологическая акция, облегченная с использованием киберсредств, когда кинетическое воздействие, возможно, было не лучшим выбором", - сказал Грэм.
Наконец, главный технолог по теренуты Dragos Фил Тонкин сказал, что хотя важно не недооценивать FrostyGoop, также важно не переоценивать его.
"Важно понимать, что хотя это что-то, что активно используется", - сказал он во время звонка с прессой, "тем не менее очень, очень важно, что мы не думаем, что это сразу приведет к отключению энергосети страны".
Эта статья была обновлена, чтобы включить комментарии от Совета безопасности Украины.