This post is also available in:
English (אנגלית)
סוג חדש של נוזקה בשם FrostyGoop פגעה בחברת אנרגיה מחוזית במערב אוקראינה, גרמה לתקלות בבקרי מערכת החימום, כיבתה את החימום במאות בנייני דירות והותירה את התושבים לקפוא בטמפרטורות מתחת לאפס באמצע החורף.
חוקרים מחברת אבטחת הסייבר דראגוס (Dragos) מסבירים כי בעת ההתקפה "המתקן הזין מעל 600 בנייני דירות באזור לבוב באוקראינה וסיפק ללקוחותיו חימום מרכזי. תיקון האירוע ארך כמעט יומיים, שבמהלכם האוכלוסייה האזרחית נאלצה לסבול מטמפרטורות נמוכות מאפס".
על פי Cybernews, למרות שנוזקת FrostyGoop התגלתה לראשונה באפריל, גם דראגוס וגם הרשויות האוקראיניות חשפו כי השתמשו בה גם במתקפה בינואר. על פי הדיווחים, גורמים זדוניים התכוננו במשך חודשים לפגוע בחברת האנרגיה וניגשו לרשת כמעט שנה לפני ההתקפה עצמה.
מומחים מדראגוס טענו שהתוקפים ניגשו לרשת שפגועה באפריל לאחר שניצלו פגם בנתב מיקרוטיק חיצוני. שלושה ימים לאחר מכן הם פרסו web shell tunnel, ובשתי הזדמנויות התוקפים הצליחו להשיג אישורי משתמש נוספים (בסוף נובמבר ובתחילת דצמבר).
כרגע אף כנופיית סייבר לא לקחה אחריות רשמית על ההתקפה, אבל חוקרים מציינים כי ביום ההתקפה "יריבים יזמו חיבורי L2TP לכתובות IP המבוססות במוסקבה."
החידוש בהתקפה הזו היה שהגורמים הזדוניים שמאחוריה השתמשו ב-Modbus Communications, פרוטוקול תקשורת המשמש לחיבור עם טכנולוגיה תפעולית. פרוטוקול זה קיים כבר זמן רב (מאז 1979), ואף על פי שארגון Modbus ניהל את הפרוטוקולים מאז 2004, הוא נחשב לפרוטוקול מאוד לא בטוח מכיוון שהוא אינו מציע הצפנה.
החוקרים סיכמו: "היכולות של FrostyGoop לקיים אינטראקציה עם התקני ICS באמצעות Modbus TCP ומעמדה הלא מזוהה על ידי ספקי אנטי-וירוס מדגישות את הצורך הקריטי באמצעי אבטחת סייבר חזקים מסוג OT. מתקפת הסייבר על חברת האנרגיה העירונית בלבוב, אוקראינה, היא תזכורת חריפה להשפעות האפשריות של חולשות כאלה בעולם האמיתי".
