В этом году во Львове внезапно исчезло отопление в 600 многоквартирных домах на двое суток. Исследование фирмы промышленной кибербезопасности Dragos показало, что к этому причастно вредоносное ПО, следы которого ведут в Москву. Журнал Wired пообщался с аналитиками Dragos об этом относительно новом способе атаки россиян на украинских гражданских. Forbes Ukraine передает главное из материала
Оккупация, пытки, ракеты, КАБы, DDoS-атаки на банки и выведение из строя телеком-инфраструктуры – это неполный перечень операций россиян против Украины еще со времен их вторжения на украинские территории в 2014-м. Но, похоже, креативность страны-агрессора не имеет пределов.
В этом январе, пишет Wired, Россия придумала новый способ издевательств над украинцами: отключение тепла и горячей воды, когда температура на улице опускается ниже нуля. Первый такой случай произошел во Львове. Тогда вредоносное ПО заставило термостат системы отопления неправильно считать температуру воды в трубах и полностью охладить горячую воду в 600 многоквартирных домах почти на 48 часов.
Об этой новой разновидности вредоносной программы сообщила фирма промышленной кибербезопасности Dragos и назвала ее FrostyGoop. Эта программа создана, чтобы напрямую взаимодействовать с ПО промышленных систем контроля и влиять на физические результаты их работы.
FrostyGoop – это первая обнаруженная вредоносная программа, пытающаяся достичь таких последствий через Modbus, распространенный и не слишком безопасный протокол, созданный для коммуникации с промышленными технологиями.
Dragos впервые обнаружила FrostyGoop в апреле этого года, когда программу загрузили на онлайн-сервис сканирования вредоносного ПО. Вероятно, это сделали сами создатели этой программы, чтобы проверить, смогут ли ее заметить антивирусные системы. А когда Dragos работала с подразделением кибербезопасности СБУ, то обнаружила, что FrostyGoop была использована для кибератаки против теплоснабжающего предприятия во Львове.
Dragos отказалась называть пострадавшую компанию и вообще заявила, что самостоятельно не подтвердила жертву, но Wired по описанию атаки и ее места определил, что, вероятно, речь идет о «Львовтеплоэнерго». Местные СМИ примерно в то же время сообщали об отключении отопления и горячей воды почти у 100 000 львовян.
Разбор российского вредоносного ПО FrostyGoop
В ходе исследования Dragos обнаружила, что FrostyGoop атаковала контрольные девайсы ENCO – инструменты для промышленного мониторинга, производимые литовской Axis Industries. Злоумышленники изменили показатели температуры, чтобы остановить поток горячей воды в системе.
Интересно, что доступ к сети компании-жертвы хакеры получили почти за год до самой атаки в апреле 2023-го, использовав для проникновения уязвимый маршрутизатор MikroTik. Далее они установили собственную VPN-сеть с IP-адресом в Москве.
Несмотря на российский след, Dragos не смогла связать эту атаку с известными хакерскими группами, за которыми она наблюдает.
Особенность FrostyGoop в том, что простым антивирусом это приложение не обнаружить и не защититься от него, ведь оно не устанавливается на компьютер компании-цели, а существует только на хакерском устройстве. Чтобы в будущем обезопасить уязвимые аксессуары на протоколе Modbus, необходим мониторинг сети и ее сегментация.
Львовские девайсы ENCO взломали по пути проникновения во внутреннюю сеть компании, но Dragos предупреждает, что ранняя версия FrostyGoop может проникать в эти устройства через открытую сеть интернет. То есть вполне возможно, что десятки тысяч девайсов на протоколе Modbus, подключенные к интернету, остаются открытыми к FrostyGoop.
«Мы считаем, что это вредоносное ПО сможет взаимодействовать с огромным количеством таких устройств, поэтому мы в процессе подтверждения тех, кто действительно уязвим к нему», – сказал аналитик Dragos Марк Грэм Wired.
Хотя кибербезопасная компания официально не связывает львовскую атаку с российским правительством, Грэм не сомневается в том, что она является частью войны России против Украины. Он считает, что хакерская атака на теплоснабжающую инфраструктуру посреди зимы может быть подтверждением того, что Украина все лучше сбивает российские ракеты, а потому россияне вынуждены прибегать к киберсаботажу, особенно на западе страны.
Арсенал инструментов российских хакеров развивается, но цель остается все та же: психологическое давление на Украину, чтобы она прекратила сопротивляться, заключает издание.
Вы нашли ошибку или неточность?
Оставьте отзыв для редакции. Мы учтем ваши замечания как можно скорее.