Головна Оперативка

Російські хакери за допомоги ПЗ FrostyGoop взимку позбавили Львів тепла

Кіра Іванова Керівниця новинної редакції The Page/SPEKA

23 липня 2024 18:00 5 хвилин читання

Львів опинився без центрального опалення на два дні в січні 2024 року через кібератаку на міськтеплокомуненерго. Для атаки хакери з російських IP-адрес застосували нове шкідливе програмне забезпечення FrostyGoop, яке шкодить промисловим системам керування, зокрема контролерам системи опалення.

Про це йдеться у звіті компанії з кібербезпеки Dragos, який з’явився у вівторок, 23 липня, пише TechCrunch.

Дослідники Dragos стверджують, що вони вперше виявили шкідливе ПЗ у квітні. На той момент багато інформації про FrostyGoop не було – тільки шматок зловмисного кода, В компанії вирішили, що його використовували лише для тестування.

Однак пізніше українська влада попередила Dragos, що знайшла докази того, що зловмисне програмне забезпечення активно використовувалося під час кібератаки у Львові пізно ввечері з 22 на 23 січня.

Читайте також: Російські хакери зламали сотні поштових скриньок українських прокурорів і чиновників

«У підсумку понад 600 багатоквартирних будинків майже на 48 годин опинилися без опалення»

Марк «Magpie» Грем, дослідник Dragos

Дослідники Dragos Марк Грем, Кайл О’Міра та Керолін Алерс стверджують, що «ліквідація інциденту зайняла майже два дні, протягом яких цивільне населення витримало мінусову температуру».

Це третій відомий великий збій через кібертатаки, якого Україна зазнала за останні роки. Хоча дослідники стверджують, що хакери не в змозі спричинити масові збої, зрозуміло, що вони будуть посилювати атаки на критичну інфраструктуру, включаючи й енергетичні мережі.

FrostyGoop може загрожувати 46 тис. промислових систем у світі

Підписуйтеся на наші соцмережі

За даними компанії Dragos, зловмисне програмне забезпечення FrostyGoop атакує системи промислового керування (ICS) через протокол Modbus. Це протокол десятирічної давнини, який широко використовується в усьому світі для керування пристроями в промислових середовищах. Це означає, що FrostyGoop можна використати для атаки на інші компанії та об’єкти будь-де, уточнили в Dragos.

«Сьогодні існує щонайменше 46 тис. пристроїв ICS з виходом до інтернету, що підтримують протокол Modbus»

Марк Грем

Російські хакери використовують аналоги FrostyGoop

За підрахунками Dragos, FrostyGoop – вже дев’ятий вид зловмисного ПЗ для ICS, з яким компанія стикалася за останні роки. Найвідомішим із них є Industroyer, також відомий як CrashOverride. Саме його сумнозвісна хакерська група Sandworm, яку пов’язують з російським урядом, використала, щоб вимкнути світло в Києві, а згодом – відключити електропідстанції в Україні.

Крім кібератак, спрямованих на Україну, Dragos бачив “у дії” Triton. Цім malware атакували нафтохімічний завод в Саудівській Аравії та ще один неназваний об’єкт пізніше.

Ще одна кібербезпекова компанія Mandiant у 2023-му виявила аналогічне шкідливе програмне забезпечення CosmicEnergy.

Як саме закери зламали тепломережі Львова у січні 2024-го

Дослідники Dragos вважають, що хакери, які контролюють зловмисне програмне забезпечення FrostyGoop, спочатку отримали доступ до цільової мережі муніципальної енергетичної компанії, скориставшись уразливістю в інтернет-роутері Mikrotik. Дослідники заявили, що маршрутизатор не був «належним чином сегментований» разом з іншими серверами та контролерами, включаючи той, який виготовив китайська компанія ENCO.

Грем додав, що компанія знайшла відкриті контролери ENCO в Литві, Україні та Румунії. І ще раз підкреслив, що, хоча FrostyGoop цього разу використовувався для цілеспрямованої атаки у Львові, хакери, які контролюють, могли націлити шкідливе програмне забезпечення в іншому місці.

ENCO ситуацію поки не коментує.

«Противники не намагалися знищити контролери. Натомість зловмисники змусили прилади звітувати про неточні вимірювання, що призвело до некоректної роботи системи та втрати опалення споживачами»

звіт Dragos

Дослідники дійшли висновку, що хакери, «можливо, отримали доступ» до цільової мережі у квітні 2023 року, майже за рік до розгортання шкідливого програмного забезпечення та відключення тепла. У наступні місяці хакери продовжували доступ до мережі, а 22 січня 2024 року підключилися через московські IP-адреси, йдеться у звіті.

Кібератаку провели з російських IP-адрес

Незважаючи на російські IP-адреси, Dragos не назвав конкретну хакерську групу чи уряд як відповідальних за цей кібер-збій. Компанія не змогла знайти зв’язку з попередньою діяльністю чи інструментами, а також через політику компанії, сказав Грем.

Він та його колеги вважають, що ця підривна операція була проведена через інтернет — на відміну від запуску ракет по об’єкту — ймовірно, як спроба підірвати моральний дух українців, які там живуть.

«Я думаю, що кібератаку, а не ракети, які були б ефективніше, вибрали для психологічного»

Марк Грем, Dragos

Головний технічний директор Dragos Філ Тонкінг підкреслив, що хоча не можна недооцінювати FrostyGoop, важливо також не перебільшувати його небезпеку.

«Важливо визнати, що попри активне використання кібератак, дуже, дуже важливо підкреслити, що вони здатні призвести до негайного руйнування національної електромережі».

Філ Тонкінг