Категория
Война
Дата

Новый вид российского терроризма. Московские хакеры научились отключать отопление в домах и начали со Львова. Расследование Wired

3 хв читання

Російська кібератака кібербезпека війна в Україні /Getty Images/Коллаж Александра Карасева

Арсенал инструментов российских хакеров развивается, но цель остается все та же: психологическое давление на Украину, чтобы она перестала сопротивляться. Фото Getty Images/Коллаж Александра Карасева

В этом году во Львове внезапно исчезло отопление в 600 многоквартирных домах на двое суток. Исследование фирмы промышленной кибербезопасности Dragos показало, что к этому причастно вредоносное ПО, следы которого ведут в Москву. Журнал Wired пообщался с аналитиками Dragos об этом относительно новом способе атаки россиян на украинских гражданских. Forbes Ukraine передает главное из материала

Оккупация, пытки, ракеты, КАБы, DDoS-атаки на банки и выведение из строя телеком-инфраструктуры – это неполный перечень операций россиян против Украины еще со времен их вторжения на украинские территории в 2014-м. Но, похоже, креативность страны-агрессора не имеет пределов.

В этом январе, пишет Wired, Россия придумала новый способ издевательств над украинцами: отключение тепла и горячей воды, когда температура на улице опускается ниже нуля. Первый такой случай произошел во Львове. Тогда вредоносное ПО заставило термостат системы отопления неправильно считать температуру воды в трубах и полностью охладить горячую воду в 600 многоквартирных домах почти на 48 часов.

Об этой новой разновидности вредоносной программы сообщила фирма промышленной кибербезопасности Dragos и назвала ее FrostyGoop. Эта программа создана, чтобы напрямую взаимодействовать с ПО промышленных систем контроля и влиять на физические результаты их работы.

FrostyGoop – это первая обнаруженная вредоносная программа, пытающаяся достичь таких последствий через Modbus, распространенный и не слишком безопасный протокол, созданный для коммуникации с промышленными технологиями.

Dragos впервые обнаружила FrostyGoop в апреле этого года, когда программу загрузили на онлайн-сервис сканирования вредоносного ПО. Вероятно, это сделали сами создатели этой программы, чтобы проверить, смогут ли ее заметить антивирусные системы. А когда Dragos работала с подразделением кибербезопасности СБУ, то обнаружила, что FrostyGoop была использована для кибератаки против теплоснабжающего предприятия во Львове.

Dragos отказалась называть пострадавшую компанию и вообще заявила, что самостоятельно не подтвердила жертву, но Wired по описанию атаки и ее места определил, что, вероятно, речь идет о «Львовтеплоэнерго». Местные СМИ примерно в то же время сообщали об отключении отопления и горячей воды почти у 100 000 львовян.

Разбор российского вредоносного ПО FrostyGoop

В ходе исследования Dragos обнаружила, что FrostyGoop атаковала контрольные девайсы ENCO – инструменты для промышленного мониторинга, производимые литовской Axis Industries. Злоумышленники изменили показатели температуры, чтобы остановить поток горячей воды в системе.

Интересно, что доступ к сети компании-жертвы хакеры получили почти за год до самой атаки в апреле 2023-го, использовав для проникновения уязвимый маршрутизатор MikroTik. Далее они установили собственную VPN-сеть с IP-адресом в Москве.

Несмотря на российский след, Dragos не смогла связать эту атаку с известными хакерскими группами, за которыми она наблюдает.

Особенность FrostyGoop в том, что простым антивирусом это приложение не обнаружить и не защититься от него, ведь оно не устанавливается на компьютер компании-цели, а существует только на хакерском устройстве. Чтобы в будущем обезопасить уязвимые аксессуары на протоколе Modbus, необходим мониторинг сети и ее сегментация.

Львовские девайсы ENCO взломали по пути проникновения во внутреннюю сеть компании, но Dragos предупреждает, что ранняя версия FrostyGoop может проникать в эти устройства через открытую сеть интернет. То есть вполне возможно, что десятки тысяч девайсов на протоколе Modbus, подключенные к интернету, остаются открытыми к FrostyGoop.

«Мы считаем, что это вредоносное ПО сможет взаимодействовать с огромным количеством таких устройств, поэтому мы в процессе подтверждения тех, кто действительно уязвим к нему», – сказал аналитик Dragos Марк Грэм Wired.

Хотя кибербезопасная компания официально не связывает львовскую атаку с российским правительством, Грэм не сомневается в том, что она является частью войны России против Украины. Он считает, что хакерская атака на теплоснабжающую инфраструктуру посреди зимы может быть подтверждением того, что Украина все лучше сбивает российские ракеты, а потому россияне вынуждены прибегать к киберсаботажу, особенно на западе страны.

Арсенал инструментов российских хакеров развивается, но цель остается все та же: психологическое давление на Украину, чтобы она прекратила сопротивляться, заключает издание.

Материалы по теме

Вы нашли ошибку или неточность?

Оставьте отзыв для редакции. Мы учтем ваши замечания как можно скорее.

Предыдущий слайд
Следующий слайд