Детали
Согласно отчету, вредоносное программное обеспечение FrostyGoop может атаковать промышленные системы управления (ICS), побуждая их к неправильной работе. Например, к отключению тепла и горячей воды посреди зимы. Эксперты утверждают, что именно это оно и сделало в январе 2024 года, когда жители более 600 многоквартирных домов во Львове на два дня остались без тепла на фоне морозных температур.
Смотрите также Хакеры, поддерживающие художников в борьбе с ИИ, взломали Disney, похитив невыпущенные фильмы
Dragos говорит, что FrostyGoop – это уже девятая известная вредоносная программа, предназначенная для поражения промышленных контроллеров. Это также первая программа, которая целенаправленно нацелена на Modbus, широко распространенный протокол связи, изобретенный в 1979 году. Modbus часто используется в промышленной среде, в том числе и украинской.
Ситуационный центр кибербезопасности Украины в апреле поделился информацией об атаке с Dragos, после того, как впервые обнаружил вредоносное программное обеспечение. Код, написанный на языке Golang (язык программирования Go, разработанный компанией Google), непосредственно взаимодействует с промышленными системами управления через открытый интернет-порт (502).
- Анализ показал, что злоумышленники, вероятно, получили доступ к промышленной сети Львова еще в апреле 2023 года.
- Dragos говорит, что они сделали это, "используя неопределенную уязвимость во внешнем маршрутизаторе Mikrotik".
- Затем они установили инструмент удаленного доступа, который отменил необходимость устанавливать вредоносное программное обеспечение локально, что помогло ему избежать обнаружения.
- Злоумышленники обновили прошивку контроллера до версии, в которой отсутствовали возможности мониторинга, что помогло им замести следы.
- Вместо того, чтобы вывести системы из строя, хакеры заставили контроллеры сообщать о неточных измерениях, что в итоге привело к потере тепла посреди сильного мороза.
Смотрите также Сделайте это своей привычкой и забудете об опасности: советы по киберзащите от Viber
Следы этой кибератаки, как отмечается, ведут к "московским IP-адресам". Компания предупреждает, что, учитывая, насколько распространен протокол Modbus в промышленной среде, FrostyGoop может быть использован для вывода из строя подобных систем по всему миру.