Специалисты компании Dragos рассказали о ICS-малвари FrostyGoop. По данным исследователей, этот вредонос использовался в январе 2024 года для атаки на компанию «Львовтеплоэнерго» и отключения отопления более чем в 600 многоквартирных домах во Львове (Украина).
FrostyGoop является всего девятым известным вредоносом, ориентированным на промышленные системы управления (Industrial Control Systems, ICS или Автоматизированные системы управления, АСУ). Напомним, что ранее эксперты Mandiant обнаружили АСУ-малварь CosmicEnergy, а эксперты ESET предупреждали о похожей угрозе Industroyer2, которая использовалась для неудачной атаки на крупного украинского поставщика энергии.
При этом исследователи Dragos подчеркивают, что FrostyGoop – первая малварь, которая напрямую эксплуатирует протокол Modbus, который стандартно применяется во многих промышленных секторах.
«Способность FrostyGoop взаимодействовать с АСУ-устройствами через Modbus TCP угрожает критической инфраструктуре во множестве секторов. Учитывая повсеместное распространение Modbus в промышленных средах, эта вредоносная программа потенциально может вызывать сбои в любых промышленных секторах, взаимодействуя с устаревшими и современными системами», — предупреждают в Dragos.
Впервые вредонос был обнаружен специалистами Dragos в апреле 2024 года. Исходно исследователи полагали, что он все еще находится в стадии тестирования, однако Ситуационный центр обеспечения кибербезопасности Украины сообщил, что малварь уже применялась в атаках, и связал ее с январским отключением отопления во Львове.
Расследование январской кибератаки показало, что злоумышленники проникли в сеть «Львовтеплоэнерго» почти за год до самого инцидента — 17 апреля 2023 года, использовав для этого неустановленную уязвимость в маршрутизаторе Mikrotik.
Через три дня после взлома атакующие развернули веб-шелл, который позволил им сохранить доступ и помог подключиться к взломанной сети в ноябре и декабре 2023 года, чтобы похитить учетные данные пользователей из Security Account Manager (SAM).
Непосредственно в день атаки атакующие использовали соединения L2TP (Layer Two Tunnelling Protocol) для доступа к сетевым ресурсам энергетической компании.
Поскольку сеть компании не была сегментирована должным образом, атакующие смогли использовать жестко закодированные сетевые маршруты и перехватить управление контроллерами ENCO, связанными с системой отопления. После этого хакеры осуществили даунгрейд прошивки до версий, лишенных функций мониторинга, чтобы избежать обнаружения.
В итоге передаваемые через Modbus команды привели к «неточностям в измерениях и сбоям в работе системы», в результате чего некоторые производственные процессы «Львовтеплоэнерго» оказались приостановлены.
Специалисты Dragos не связывают эту атаку с какой-либо конкретной страной или хак-группой, но в компании отмечают, что во время январской атаки наблюдали использование нескольких московских IP-адресов.