Dvi dienas sausio viduryje kai kurie ukrainiečiai Lvovo mieste turėjo gyventi be centrinio šildymo ir kentėti šaltą temperatūrą dėl kibernetinės atakos prieš savivaldybės energetikos įmonę, vėliau padarė išvadą saugumo tyrėjai ir Ukrainos valdžia.

Antradienį kibernetinio saugumo bendrovė „Dragos“ paskelbė ataskaitą su išsamia informacija apie naują kenkėjišką programą, pavadintą „FrostyGoop“, kuri, bendrovės teigimu, skirta pramoninėms valdymo sistemoms – šiuo konkrečiu atveju, konkrečiai prieš tam tikro tipo šildymo sistemos valdiklius.

Dragos mokslininkai savo ataskaitoje rašė, kad pirmą kartą kenkėją aptiko balandžio mėn. Tuo metu Dragosas neturėjo daugiau informacijos apie „FrostyGoop“, išskyrus kenkėjiškų programų pavyzdį, ir tikėjo, kad ji buvo naudojama tik bandymams. Tačiau vėliau Ukrainos valdžia perspėjo Dragosą, kad rado įrodymų, kad kenkėjiška programa buvo aktyviai naudojama kibernetinės atakos metu Lvove vėlyvą sausio 22 d. vakarą iki sausio 23 d.

„Dėl to beveik 48 valandas dingo šildymas daugiau nei 600 daugiabučių namų“, – sakė Magpie Graham, Dragoso tyrėjas, per pokalbį su žurnalistais, kurie buvo informuoti apie ataskaitą prieš jos paskelbimą.

Dragos tyrinėtojai Grahamas, Kyle'as O'Meara ir Carolyn Ahlers ataskaitoje rašė, kad „įvykio ištaisymas užtruko beveik dvi dienas, per tą laiką civiliai gyventojai turėjo ištverti minusinę temperatūrą“.

Tai jau trečias žinomas su kibernetinėmis atakomis susijęs gedimas, smogęs ukrainiečiams per pastaruosius metus. Nors mokslininkai teigė, kad kenkėjiška programa vargu ar sukels plataus masto gedimų, tai rodo, kad kenkėjiški įsilaužėliai vis labiau stengiasi nukreipti kritinę infrastruktūrą, pvz., energijos tinklus.

Pasak Dragoso, „FrostyGoop“ kenkėjiška programa sukurta sąveikauti su pramoniniais valdymo įrenginiais (ICS) per „Modbus“ – dešimtmečių senumo protokolą, plačiai naudojamą visame pasaulyje įrenginiams pramoninėje aplinkoje valdyti. .

„Šiandien yra mažiausiai 46 000 internetinių ICS įrenginių, kurie leidžia Modbus“, – žurnalistams sakė Grahamas.

Dragosas teigė, kad „FrostyGoop“ yra devinta su ICS susijusi kenkėjiška programa, su kuria ji susidūrė per daugelį metų. Garsiausios iš jų yra „Industroyer“ (dar žinomas kaip „CrashOverride“), kurią naudojo liūdnai pagarsėjusi su Rusijos vyriausybe susijusi programišių grupė „Sandworm“, kad išjungtų šviesas Kijeve, o vėliau atjungdavo elektros pastotes Ukrainoje. Be tų kibernetinių atakų, nukreiptų prieš Ukrainą, Dragosas taip pat matė „Triton“, kuris vėliau buvo dislokuotas prieš Saudo Arabijos naftos chemijos gamyklą ir prieš nežinomą antrąjį įrenginį; ir CosmicEnergy kenkėjiška programa, kurią praėjusiais metais aptiko Mandiant.

Susisiekite su mumis

Ar turite daugiau informacijos apie šią kibernetinę ataką? Arba panašių išpuolių, nukreiptų prieš ICS Ukrainoje ir už jos ribų? Naudodami neveikiantį įrenginį galite saugiai susisiekti su Lorenzo Franceschi-Bicchierai telefonu +1 917 257 1382 arba per Telegram ir Keybase @lorenzofb arba el. paštu. Taip pat galite susisiekti su „TechCrunch“ naudodami „SecureDrop“.

Dragos tyrėjai rašė manantys, kad „FrostyGoop“ kenkėjišką programinę įrangą valdantys įsilaužėliai pirmiausia gavo prieigą prie tikslinės savivaldybės energetikos įmonės tinklo, pasinaudodami interneto veikiamo „Mikrotik“ maršrutizatoriaus pažeidžiamumu. Tyrėjai teigė, kad maršrutizatorius nebuvo „pakankamai segmentuotas“ kartu su kitais serveriais ir valdikliais, įskaitant tą, kurį pagamino Kinijos įmonė ENCO.

Grahamas sakė, kad jie rado atvirų ENCO valdiklių Lietuvoje, Ukrainoje ir Rumunijoje, dar kartą pabrėždami, kad nors šį kartą FrostyGoop buvo panaudota tikslinei atakai Lvove, valdantys įsilaužėliai galėjo nukreipti kenkėjiškas programas kitur.

ENCO ir jos darbuotojai iš karto neatsakė į „TechCrunch“ prašymą pakomentuoti.

„Priešininkai nebandė sunaikinti kontrolierių. Vietoj to, priešininkai privertė kontrolierius pranešti apie netikslius matavimus, dėl kurių sistema veikė neteisingai, o klientai prarado šildymą“, – rašė mokslininkai.

Tyrimo metu mokslininkai teigė padarę išvadą, kad įsilaužėliai „galbūt gavo prieigą“ prie tikslinio tinklo 2023 m. balandžio mėn., likus beveik metams iki kenkėjiškos programos įdiegimo ir šildymo išjungimo. Ataskaitoje teigiama, kad kitais mėnesiais įsilaužėliai vis prieidavo prie tinklo ir 2024 m. sausio 22 d. prisijungdavo per Maskvoje esančius IP adresus.

Nepaisant Rusijos IP adresų, Dragosas nerodė pirštu į jokią žinomą konkrečią įsilaužimo grupę ar vyriausybę, kaip atsakingą už šį kibernetinės veiklos sutrikimą, nes bendrovė negalėjo rasti ryšių su ankstesne veikla ar įrankiais ir dėl ilgalaikės įmonės veiklos. Kibernetinių atakų nepriskyrimo politika, sakė Grahamas.

Grahamas pasakė, kad jis ir jo kolegos mano, kad ši ardomoji operacija buvo vykdoma internetu, o ne raketų paleidimas į objektą, greičiausiai siekiant pakenkti ten gyvenančių ukrainiečių moralei.

„Manau, kad čia labai daug psichologinių pastangų, palengvintų kibernetinėmis priemonėmis, kai kinetika galbūt čia nebuvo geriausias pasirinkimas“, – sakė Grahamas.

Galiausiai, Dragoso srities vyriausiasis technologijų pareigūnas Philas Tonkingas sakė, kad nors svarbu nesureikšminti „FrostyGoop“, taip pat svarbu jo nepersistengti.

„Svarbu pripažinti, kad nors tai yra kažkas, kas buvo aktyviai naudojama“, – sakė jis per pokalbį su spauda, ​​– taip pat labai labai svarbu, kad nemanome, kad tai yra kažkas, kas tuoj pat sužlugdys. tautos elektros tinklas“.



Source link