Російські хакери відключили опалення в 600 українських будинках узимку – дослідження Dragos

24 липня 2024, 10:34
Читать новость на русском

Джерело:

TechCrunch

Дослідники компанії з кібербезпеки Dragos знайшли організаторів кібератаки, здійсненої проти України взимку. Вони випустили про це звіт, у якому, серед іншого, попереджають, що шкідливе програмне забезпечення все ще може загрожувати іншим промисловим системам.

Деталі

Згідно зі звітом, шкідливе програмне забезпечення FrostyGoop може атакувати промислові системи управління (ICS), спонукаючи їх до неправильної роботи. Наприклад, до відключення тепла та гарячої води посеред зими. Експерти стверджують, що саме це воно й зробило в січні 2024 року, коли мешканці понад 600 багатоквартирних будинків у Львові на два дні залишилися без тепла на тлі морозних температур.

Дивіться також Хакери, що підтримують художників у боротьбі з ШІ, зламали Disney, викравши невипущені фільми

Dragos каже, що FrostyGoop – це вже дев'ята відома шкідлива програма, призначена для ураження промислових контролерів. Це також перша програма, яка цілеспрямовано націлена на Modbus, широко розповсюджений протокол зв'язку, винайдений у 1979 році. Modbus часто використовується в промисловому середовищі, в тому числі й українському.

Ситуаційний центр кібербезпеки України у квітні поділився інформацією про атаку з Dragos, після того, як уперше виявив шкідливе програмне забезпечення. Код, написаний мовою Golang (мова програмування Go, розроблена компанією Google), безпосередньо взаємодіє з промисловими системами управління через відкритий інтернет-порт (502).

  • Аналіз показав, що зловмисники, ймовірно, отримали доступ до промислової мережі Львова ще у квітні 2023 року.
  • Dragos каже, що вони зробили це, "використовуючи невизначену вразливість у зовнішньому маршрутизаторі Mikrotik".
  • Потім вони встановили інструмент віддаленого доступу, який скасував необхідність встановлювати шкідливе програмне забезпечення локально, що допомогло йому уникнути виявлення.
  • Зловмисники оновили прошивку контролера до версії, в якій були відсутні можливості моніторингу, що допомогло їм замести сліди.
  • Замість того, щоб вивести системи з ладу, хакери змусили контролери повідомляти про неточні вимірювання, що врешті призвело до втрати тепла посеред сильного морозу.

Дивіться також Зробіть це своєю звичкою і забудете про небезпеку: поради з кіберзахисту від Viber

Сліди цієї кібератаки, як зазначається, ведуть до "московських IP-адрес". Компанія попереджає, що, враховуючи, наскільки поширений протокол Modbus у промисловому середовищі, FrostyGoop може бути використаний для виведення з ладу подібних систем по всьому світу.

Автор: Олександр Гайдамашко