Российские хакеры отключили отопление в 600 украинских домах зимой – исследование Dragos

Александр Гайдамашко

Источник:

TechCrunch

Зимняя хакерская атака на украинские теплосети была организована Россией

Иллюстративное фото / Freepik

Исследователи компании по кибербезопасности Dragos нашли организаторов кибератаки, совершенной против Украины зимой. Они выпустили об этом отчет, в котором, среди прочего, предупреждают, что вредоносное программное обеспечение все еще может угрожать другим промышленным системам.

Детали

Согласно отчету, вредоносное программное обеспечение FrostyGoop может атаковать промышленные системы управления (ICS), побуждая их к неправильной работе. Например, к отключению тепла и горячей воды посреди зимы. Эксперты утверждают, что именно это оно и сделало в январе 2024 года, когда жители более 600 многоквартирных домов во Львове на два дня остались без тепла на фоне морозных температур.

Dragos говорит, что FrostyGoop – это уже девятая известная вредоносная программа, предназначенная для поражения промышленных контроллеров. Это также первая программа, которая целенаправленно нацелена на Modbus, широко распространенный протокол связи, изобретенный в 1979 году. Modbus часто используется в промышленной среде, в том числе и украинской.

Ситуационный центр кибербезопасности Украины в апреле поделился информацией об атаке с Dragos, после того, как впервые обнаружил вредоносное программное обеспечение. Код, написанный на языке Golang (язык программирования Go, разработанный компанией Google), непосредственно взаимодействует с промышленными системами управления через открытый интернет-порт (502).

Анализ показал, что злоумышленники, вероятно, получили доступ к промышленной сети Львова еще в апреле 2023 года.
Dragos говорит, что они сделали это, "используя неопределенную уязвимость во внешнем маршрутизаторе Mikrotik".
Затем они установили инструмент удаленного доступа, который отменил необходимость устанавливать вредоносное программное обеспечение локально, что помогло ему избежать обнаружения.
Злоумышленники обновили прошивку контроллера до версии, в которой отсутствовали возможности мониторинга, что помогло им замести следы.
Вместо того, чтобы вывести системы из строя, хакеры заставили контроллеры сообщать о неточных измерениях, что в итоге привело к потере тепла посреди сильного мороза.

Следы этой кибератаки, как отмечается, ведут к "московским IP-адресам". Компания предупреждает, что, учитывая, насколько распространен протокол Modbus в промышленной среде, FrostyGoop может быть использован для вывода из строя подобных систем по всему миру.