Újszerű malware szabotálta a melegvíz-ellátást Ukrajnában

A vizsgálatot végző szakemberek egy új, kifejezetten ipari vezérlőrendszereket célzó szoftverhez kötötték azt a januári támadást, amely az ukrajnai Lvivben mintegy hatszáz lakóház fűtési szolgáltatásait zavarta meg – a fagypont alatti hőmérséklet idején…

 A Dragos kutatói által felfedezett FrostyGoop nevű kártevő az első olyan ismert szoftver, amely lehetővé teszi a hackerek számára, hogy közvetlenül kapcsolatba lépjenek az operatív technológiai (OT) rendszerekkel a Modbuson keresztül, amely az ICS-környezetekben széles körben használt kommunikációs protokoll. Ez különösen veszélyessé teszi a FrostyGoop-ot, mivel a támadók ezzel a kártevővel nagyjából minden olyan ICS-rendszert széles körben megtámadhatnak, amely a Modbus-t használja kommunikációra. A biztonságtechnikai szállító elmondta, hogy mintegy 46 000 olyan ICS-eszközt talált, amelyek jelenleg a protokollon keresztül kommunikálnak.

 A szakemberek először 2024 áprilisában találkoztak a FrostyGoop binárisokkal, amikor egy ügyfélnél gyanúsnak tűnő fájlok rutinszerű vizsgálatát végezték. Az első elemzésük szerint a rosszindulatú szoftver még tesztelési szakaszban volt, de gyorsan felülvizsgálták ezt az értékelést, miután az ukrán Kiberbiztonsági Helyzetelemző Központ (CSSC) megosztotta a Dragosszal a 2024. januári, egy lvivi távhőszolgáltató vállalatot ért támadás részleteit.

 A rosszindulatú szoftver lehetővé teszi a támadó számára, hogy jogosulatlan parancsokat küldjön az áldozat rendszereinek. Az ukrajnai kibertámadás az ENCO márkájú fűtési rendszervezérlőket vette célba egy olyan vállalatnál, amely a melegvíz-szolgáltatást irányítja Lvivben mintegy hatszáz lakás számára. A támadók parancsokat küldtek a vezérlőknek, amelyek pontatlan méréseket és rendszerhibákat okoztak. Az incidensre reagáló szakembereknek közel két napig kellett dolgozniuk, hogy utólag orvosolják a problémát.

 Dragos vizsgálata megállapította, hogy a támadók először 2023 áprilisában jutottak be az energiavállalat hálózatába egy külső Microtek router – egyelőre meghatározatlan – sebezhetőségén keresztül. A támadók hat nap alatt egy web shell-t telepítettek az áldozat környezetébe, amelyet néhány hónappal később a felhasználói hitelesítő adatok kiszivárogtatására használtak. 2024 januárjában a támadók kapcsolatot hoztak létre a megtámadott környezet és egy oroszországi IP-cím között.

A támadók nem próbálták meg megsemmisíteni a vezérlőket, ehelyett azt okozták, hogy a vezérlők pontatlan méréseket jelentettek, ami a rendszer helytelen működéséhez és a fogyasztók fűtéskieséséhez vezetett.

Dragos javaslata szerint öt alapvető lépést érdemes végrehajtani:

·       hálózati szegmentáció a károk mérséklése érdekében,

·       folyamatos felügyelet a jobb láthatóság érdekében,

·       biztonságos távoli hozzáférés,

·       kockázatalapú sebezhetőségkezelés és

·       erős incidensreagálási képességek.

A teljes (angol nyelvű) cikk ide kattintva érhető el.