Цього січня у Львові раптово зникло опалення у 600 багатоквартирних будинках на дві доби. Дослідження фірми промислової кібербезпеки Dragos показало, що до цього причетне шкідливе ПЗ, сліди якого ведуть до Москви. Журнал Wired поспілкувався з аналітиками Dragos про цей відносно новий спосіб атаки росіян на українських цивільних. Forbes Ukraine переказує головне з матеріалу
За 107 років існування Forbes логотип змінювався 18 разів, але таким авангардним і вільним світ його бачить вперше. В новому числі журналу Forbes Ukraine: сучасне мистецтво, топ-50 благодійних фондів, альтернативна енергетика, 30 до 30. Замовляйте вже зараз!
Окупація, тортури, ракети, КАБи, DDoS-атаки на банки і виведення з ладу телеком-інфраструктури – це неповний перелік операцій росіян проти України ще з часів їхнього вторгнення на українські території у 2014-му. Та, схоже, креативність країни-агресорки не має меж.
Цього січня, пише Wired, Росія вигадала новий спосіб знущання з українців: відключення тепла та гарячої води, коли температура на вулиці опускається нижче нуля. Перший такий випадок трапився у Львові. Тоді шкідливе ПЗ змусило термостат системи опалення неправильно зчитати температуру води у трубах і повністю охолодити гарячу воду у 600 багатоквартирних будинках на близько 48 годин.
Про цей новий різновид шкідливої програми повідомила фірма промислової кібербезпеки Dragos і назвала її FrostyGoop. Ця програма створена, щоб прямо взаємодіяти з ПЗ промислових систем контролю і впливати на фізичні результати їхньої роботи.
FrostyGoop – це перша виявлена шкідлива програма, яка намагається досягти цих наслідків через Modbus, поширений і не надто безпечний протокол, створений для комунікації з промисловими технологіями.
Dragos вперше виявила FrostyGoop у квітні цього року, коли програму завантажили на онлайн-сервіс сканування шкідливого ПЗ. Ймовірно це зробили самі творці цієї програми, щоб перевірити, чи зможуть її помітити антивірусні системи. А коли Dragos працювала з кібербезпековим підрозділом СБУ, то виявила, що FrostyGoop було використано для кібератаки проти теплопостачального підприємства у Львові.
Dragos відмовилася називати постраждалу компанію і взагалі заявила, що самостійно не підтвердила жертву, але Wired за описом атаки та її місця визначив, що вірогідно йдеться про «Львівтеплоенерго». Місцеві ЗМІ приблизно в той же час повідомляли про відключення опалення і гарячої води у майже 100 000 львівʼян.
Розбір російського шкідливого ПЗ FrostyGoop
Під час дослідження Dragos виявила, що FrostyGoop атакувала контрольні девайси ENCO – інструменти для промислового моніторингу, які виробляє литовська Axis Industries. Зловмисники змінили показники температури, щоб зупинити потік гарячої води у систему.
Цікаво, що доступ до мережі компанії-жертви хакери отримали майже за рік до самої атаки, у квітні 2023-го, використавши для проникнення вразливий маршрутизатор MikroTik. Далі вони встановили власну VPN-мережу з IP-адресою у Москві.
Попри російський слід, Dragos не змогла повʼязати цю атаку з відомими хакерськими групами, за якими вона спостерігає.
Особливість FrostyGoop у тому, що простим антивірусом цю програму не виявити і не захиститися від неї, адже вона не встановлюється на компʼютер компанії-цілі, а існує лише на пристрої хакера. Щоб у майбутньому убезпечити вразливі девайси на протоколі Modbus, потрібен моніторинг мережі та її сегментація.
Львівські девайси ENCO зламали шляхом проникнення у внутрішню мережу компанії, але Dragos попереджає, що рання версія FrostyGoop може проникати у ці пристрої через відкриту мережу інтернет. Тобто цілком можливо, що десятки тисяч девайсів на протоколі Modbus, що підключені до інтернету, залишаються відкритими до FrostyGoop.
«Ми вважаємо, що це шкідливе ПЗ зможе взаємодіяти з величезною кількістю таких пристроїв, тому ми у процесі підтвердження тих, хто дійсно вразливий до нього», – сказав аналітик Dragos Марк Ґрем Wired.
Хоча кібербезпекова компанія офіційно не повʼязує львівську атаку з російським урядом, Ґрем не сумнівається у тому, що вона є частиною війни Росії проти України. Він вважає, що хакерська атака на теплопостачальну інфраструктуру посеред зими може бути підтвердженням того, що Україна все краще збиває російські ракети, а тому росіяни змушені вдаватися до кіберсаботажу, особливо на заході країни.
Арсенал інструментів російських хакерів розвивається, але ціль залишається та сама: психологічний тиск на Україну, щоб вона припинила опиратися, підсумовує видання.
Ви знайшли помилку чи неточність?
Залиште відгук для редакції. Ми врахуємо ваші зауваження якнайшвидше.
