Российские хакеры отключили отопление в 600 украинских домах зимой – исследование Dragos

24 июля 2024, 10:34
Читати новину українською
Автор: Александр Гайдамашко

Источник:

TechCrunch

Исследователи компании по кибербезопасности Dragos нашли организаторов кибератаки, совершенной против Украины зимой. Они выпустили об этом отчет, в котором, среди прочего, предупреждают, что вредоносное программное обеспечение все еще может угрожать другим промышленным системам.

Детали

Согласно отчету, вредоносное программное обеспечение FrostyGoop может атаковать промышленные системы управления (ICS), побуждая их к неправильной работе. Например, к отключению тепла и горячей воды посреди зимы. Эксперты утверждают, что именно это оно и сделало в январе 2024 года, когда жители более 600 многоквартирных домов во Львове на два дня остались без тепла на фоне морозных температур.

Смотрите также Хакеры, поддерживающие художников в борьбе с ИИ, взломали Disney, похитив невыпущенные фильмы

Dragos говорит, что FrostyGoop – это уже девятая известная вредоносная программа, предназначенная для поражения промышленных контроллеров. Это также первая программа, которая целенаправленно нацелена на Modbus, широко распространенный протокол связи, изобретенный в 1979 году. Modbus часто используется в промышленной среде, в том числе и украинской.

Ситуационный центр кибербезопасности Украины в апреле поделился информацией об атаке с Dragos, после того, как впервые обнаружил вредоносное программное обеспечение. Код, написанный на языке Golang (язык программирования Go, разработанный компанией Google), непосредственно взаимодействует с промышленными системами управления через открытый интернет-порт (502).

  • Анализ показал, что злоумышленники, вероятно, получили доступ к промышленной сети Львова еще в апреле 2023 года.
  • Dragos говорит, что они сделали это, "используя неопределенную уязвимость во внешнем маршрутизаторе Mikrotik".
  • Затем они установили инструмент удаленного доступа, который отменил необходимость устанавливать вредоносное программное обеспечение локально, что помогло ему избежать обнаружения.
  • Злоумышленники обновили прошивку контроллера до версии, в которой отсутствовали возможности мониторинга, что помогло им замести следы.
  • Вместо того, чтобы вывести системы из строя, хакеры заставили контроллеры сообщать о неточных измерениях, что в итоге привело к потере тепла посреди сильного мороза.

Смотрите также Сделайте это своей привычкой и забудете об опасности: советы по киберзащите от Viber

Следы этой кибератаки, как отмечается, ведут к "московским IP-адресам". Компания предупреждает, что, учитывая, насколько распространен протокол Modbus в промышленной среде, FrostyGoop может быть использован для вывода из строя подобных систем по всему миру.