С российским следом. Раскрыты подробности кибератаки, которая оставила Львов без тепла и горячей воды

Исследователи Dragos пишут в своем отчете, что они впервые обнаружили вредоносное программное обеспечение в апреле. На тот момент кроме образца FrostyGoop, который, как считалось, использовался для тестирования, других следов злонамеренной деятельности не было. Позже украинские власти предупредили Dragos, что нашли доказательства использования FrostyGoop во время кибератаки на Львов.

Как пишет TechCrunch, в Dragos утверждают, что вредоносное программное обеспечение FrostyGoop разработано для взаимодействия с промышленными устройствами управления (ICS) через Modbus, старый протокол, который широко используется во всем мире для управления устройствами в промышленных средах. Это означает, что FrostyGoop можно использовать для нацеливания на компании и объекты в любом месте.

«Сегодня существует по меньшей мере 46 000 устройств ICS с доступом к Интернету и поддержкой Modbus», — заявила исследовательница Dragos Мегпай Грэм в комментарии журналистам.

Исследователи Dragos считают, что хакеры, контролирующие вредоносное программное обеспечение FrostyGoop, сначала получили доступ к целевой сети муниципальной энергетической компании, воспользовавшись уязвимостью в интернет-роутере Mikrotik. Маршрутизатор якобы не был «должным образом сегментирован» вместе с другими серверами и контроллерами.

«Противники не пытались уничтожить контроллеров. Вместо этого злоумышленники заставили контроллеры отчитываться о неточных измерениях, что привело к некорректной работе системы и потере отопления потребителями», — пишут исследователи.

В ходе расследования исследователи пришли к выводу, что хакеры, возможно, получили доступ к целевой сети в апреле 2023 года, почти за год до развертывания вредоносного программного обеспечения и отключения тепла. В последующие месяцы хакеры продолжали сохранять доступ к сети, а в день атаки, 22 января 2024 года, подключились через московские IP-адреса. Несмотря на российские IP-адреса, Dragos не называет какую-то определенную хакерскую группу или страну ответственной за кибератаку.

FrostyGoop оказался девятым вредоносным программным обеспечением для ICS, с которым Dragos сталкивалась за последние годы. Самым известным из них является Industroyer (также известный как CrashOverride), который использовался связанной с российским правительством хакерской группой Sandworm, для отключения света в Киеве и атаки на электроподстанции.

Как писал NV, в конце января 2024 года во Львове часть жилого массива Сыхов – более 600 многоквартирных домов – почти на 48 часов остались без тепла. Вероятной причиной называли кибератаку.