Per due giorni a metà gennaio, alcuni ucraini nella città di Lviv hanno dovuto vivere senza riscaldamento centralizzato e sopportare temperature gelide a causa di un attacco informatico contro un'azienda energetica municipale, hanno concluso i ricercatori di sicurezza e le autorità ucraine.
Martedì, l'azienda di sicurezza informatica Dragos ha pubblicato un rapporto con dettagli su un nuovo malware chiamato FrostyGoop, che l'azienda dice essere progettato per colpire i sistemi di controllo industriale - in questo caso specifico, contro un tipo di controllore del sistema di riscaldamento.
I ricercatori di Dragos hanno scritto nel loro rapporto che hanno rilevato per la prima volta il malware nell'aprile. A quel punto, Dragos non aveva altre informazioni su FrostyGoop oltre al campione di malware e credeva che fosse stato utilizzato solo per test. In seguito, tuttavia, le autorità ucraine hanno avvertito Dragos che avevano trovato prove che il malware era stato attivamente utilizzato in un attacco informatico a Lviv durante la tarda serata del 22 gennaio al 23 gennaio.
\"E questo ha comportato la perdita di riscaldamento per oltre 600 condomini per quasi 48 ore\", ha detto Mark \"Magpie\" Graham, un ricercatore di Dragos, durante una chiamata con i giornalisti informati sul rapporto prima della sua pubblicazione.
Un portavoce del Consiglio di sicurezza dell'Ucraina ha detto a TechCrunch in una e-mail che \"era coinvolto in misure di risposta\", a seguito dell'attacco.
\"Di conseguenza: le conseguenze del cyberattacco sono state rapidamente neutralizzate e i servizi sono stati ripristinati\", ha scritto il portavoce in una email, che è stata tradotta automaticamente poiché è stata scritta in ucraino. Il portavoce ha confermato che l'attacco è avvenuto nel gennaio 2024 e che ha colpito \"oltre 600 famiglie nella città\". Il portavoce ha anche detto che gli hacker hanno preso di mira \"l'infrastruttura delle informazioni e delle comunicazioni di LvivTeploEnergo\", che è un grande fornitore di calore e acqua calda.
I ricercatori di Dragos Graham, Kyle O'Meara e Carolyn Ahlers hanno scritto nel rapporto che \"la mitigazione dell'incidente ha richiesto quasi due giorni, durante i quali la popolazione civile ha dovuto sopportare temperature sotto zero\".
Questo è il terzo black-out noto collegato a cyberattacchi che hanno colpito gli ucraini negli ultimi anni. Mentre i ricercatori hanno detto che è improbabile che il malware possa causare black-out diffusi, mostra un maggiore sforzo da parte di hacker malintenzionati nel mirare alle infrastrutture critiche, come le reti energetiche.
Il malware FrostyGoop è progettato per interagire con i dispositivi di controllo industriale (ICS) tramite Modbus, un protocollo vecchio di decenni ampiamente utilizzato in tutto il mondo per controllare dispositivi in ambienti industriali, il che significa che FrostyGoop potrebbe essere utilizzato per colpire altre aziende e strutture ovunque, secondo Dragos.
\"Ci sono almeno 46.000 dispositivi ICS esposti a Internet che consentono Modbus oggi\", ha detto Graham ai giornalisti.
Dragos ha detto che FrostyGoop è il nono malware specifico per ICS che ha incontrato nel corso degli anni. I più famosi di questi sono Industroyer (noto anche come CrashOverride), che è stato utilizzato dal famigerato gruppo di hacker legato al governo russo Sandworm per spegnere le luci a Kiev e successivamente per disconnettere le sottostazioni elettriche in Ucraina. Al di fuori di quegli attacchi informatici mirati all'Ucraina, Dragos ha visto anche Triton, che è stato utilizzato contro un impianto petrolchimico saudita e contro una seconda struttura sconosciuta in seguito; e il malware CosmicEnergy, scoperto da Mandiant l'anno scorso.
Gli hacker di FrostyGoop hanno ottenuto accesso alla rete della società energetica municipale bersaglio sfruttando una vulnerabilità in un router MikroTik esposto su Internet, hanno scritto i ricercatori. Il router non era "adeguatamente segmentato" insieme ad altri server e controller, incluso uno prodotto da ENCO, un'azienda cinese.
Graham ha detto nella chiamata che hanno trovato controller ENCO aperti in Lituania, Ucraina e Romania, sottolineando ancora una volta che mentre FrostyGoop è stato utilizzato in un attacco mirato a Lviv questa volta, gli hacker potrebbero utilizzare il malware altrove.
ENCO e i suoi dipendenti non hanno risposto immediatamente alla richiesta di commento di TechCrunch.
\"I nemici non hanno cercato di distruggere i controller. Invece, i nemici hanno fatto sì che i controller riportassero misurazioni inaccurate, causando il funzionamento non corretto del sistema e la perdita di riscaldamento ai clienti\", hanno scritto i ricercatori.
Durante l'indagine, i ricercatori hanno concluso che gli hacker hanno \"possibilmente ottenuto accesso\" alla rete bersaglio nell'aprile 2023, quasi un anno prima di distribuire il malware e spegnere il riscaldamento. Nei mesi successivi, gli hacker hanno continuato ad accedere alla rete e il 22 gennaio 2024, si sono collegati alla rete tramite indirizzi IP con sede a Mosca, secondo il rapporto.
Nonostante gli indirizzi IP russi, Dragos non ha attribuito questo black-out abilitato tramite cyber a nessun gruppo di hacker o governo noto, perché l'azienda non ha trovato legami con attività o strumenti precedenti e a causa della politica di lunga data dell'azienda di non attribuire attacchi informatici, ha detto Graham.
Quello che Graham ha detto è che lui e i suoi colleghi ritengono che questa operazione di disturbo sia stata condotta su Internet - piuttosto che lanciare missili contro l'impianto - probabilmente come sforzo per minare il morale degli ucraini che vivono lì.
\"Penso che si tratti molto di uno sforzo psicologico qui, facilitato attraverso mezzi informatici quando forse cinetici non era la scelta migliore\", ha detto Graham.
Infine, il CTO sul campo di Dragos, Phil Tonkin, ha detto che è importante non sminuire FrostyGoop, ma è anche importante non esagerare.
\"È importante riconoscere che, sebbene sia qualcosa che è stato attivamente utilizzato\", ha detto durante la chiamata con la stampa, \"è anche molto, molto importante non pensare che questo sia qualcosa che porterà immediatamente alla caduta della rete elettrica della nazione.\"
Questo articolo è stato aggiornato per includere i commenti del Consiglio di sicurezza dell'Ucraina.
