Деталі
Згідно зі звітом, шкідливе програмне забезпечення FrostyGoop може атакувати промислові системи управління (ICS), спонукаючи їх до неправильної роботи. Наприклад, до відключення тепла та гарячої води посеред зими. Експерти стверджують, що саме це воно й зробило в січні 2024 року, коли мешканці понад 600 багатоквартирних будинків у Львові на два дні залишилися без тепла на тлі морозних температур.
Dragos каже, що FrostyGoop – це вже дев'ята відома шкідлива програма, призначена для ураження промислових контролерів. Це також перша програма, яка цілеспрямовано націлена на Modbus, широко розповсюджений протокол зв'язку, винайдений у 1979 році. Modbus часто використовується в промисловому середовищі, в тому числі й українському.
Ситуаційний центр кібербезпеки України у квітні поділився інформацією про атаку з Dragos, після того, як уперше виявив шкідливе програмне забезпечення. Код, написаний мовою Golang (мова програмування Go, розроблена компанією Google), безпосередньо взаємодіє з промисловими системами управління через відкритий інтернет-порт (502).
- Аналіз показав, що зловмисники, ймовірно, отримали доступ до промислової мережі Львова ще у квітні 2023 року.
- Dragos каже, що вони зробили це, "використовуючи невизначену вразливість у зовнішньому маршрутизаторі Mikrotik".
- Потім вони встановили інструмент віддаленого доступу, який скасував необхідність встановлювати шкідливе програмне забезпечення локально, що допомогло йому уникнути виявлення.
- Зловмисники оновили прошивку контролера до версії, в якій були відсутні можливості моніторингу, що допомогло їм замести сліди.
- Замість того, щоб вивести системи з ладу, хакери змусили контролери повідомляти про неточні вимірювання, що врешті призвело до втрати тепла посеред сильного морозу.
Сліди цієї кібератаки, як зазначається, ведуть до "московських IP-адрес". Компанія попереджає, що, враховуючи, наскільки поширений протокол Modbus у промисловому середовищі, FrostyGoop може бути використаний для виведення з ладу подібних систем по всьому світу.