Russisch-gelinkte malware werd gebruikt in een cyberaanval in januari 2024 om de verwarming van meer dan 600 appartementsgebouwen in Lviv, Oekraïne, gedurende twee dagen af te sluiten tijdens temperaturen onder het vriespunt.

FrostyGoop, de Windows-malware die in deze aanval werd gebruikt, is ontworpen om industriële controlesystemen (ICS) aan te vallen via de Modbus TCP-communicatie, een standaard ICS-protocol voor alle industriële sectoren.

Het werd voor het eerst ontdekt door cybersecuritybedrijf Dragos in april 2024, wiens onderzoekers aanvankelijk dachten dat het nog in testfase was. Echter de Cyber Security Situation Center (CSSC) van Oekraïne deelde details dat de malware werd gebruikt in aanvallen en koppelde het aan de verwarmingsuitval in Lviv in januari.

“Tijdens de late avond van 22 januari 2024 en 23 januari voerden tegenstanders een verstoringsaanval uit op een gemeentelijke energiebedrijf in Lviv, Oekraïne,” zei Dragos, gebaseerd op informatie gedeeld door de CSSC.

“Op het moment van de aanval voorzag deze faciliteit meer dan 600 appartementsgebouwen in het grootstedelijk gebied van Lviv van centrale verwarming. Herstel van het incident duurde bijna twee dagen, gedurende welke tijd de burgerbevolking moest doorstaan bij temperaturen onder het vriespunt.”

FrostyGoop is de negende ICS-malware die in het wild werd ontdekt, waarvan er veel zijn gelinkt aan Russische dreigingsgroepen en aanvalsinfrastructuur. Onlangs ontdekte Mandiant CosmicEnergy, en ESET spoorde Industroyer2 op die door Sandworm-hackers werd gebruikt om een grote Oekraïense energieprovider aan te vallen in een mislukte aanval.

Netwerk werd bijna een jaar eerder geschonden

Een onderzoek naar de cyberaanval in januari 2024 in Lviv liet zien dat de aanvallers mogelijk bijna een jaar eerder, op 17 april 2023, het netwerk van het slachtoffer zijn binnengedrongen door een ongeïdentificeerde kwetsbaarheid in een Internet-blootgestelde Mikrotik-router uit te buiten.

Drie dagen later plaatsten ze een webshell die hen in staat stelde toegang te behouden en hen hielp het gehackte netwerk in november en december te benaderen om gebruikersreferenties te stelen uit de Security Account Manager (SAM) registry hive.

Op de dag van de aanval gebruikten de aanvallers L2TP (Layer Two Tunnelling Protocol) verbindingen vanaf IP-adressen in Moskou om toegang te krijgen tot de netwerkassets van het energiebedrijf van het district.

Aangezien het netwerk, inclusief de gecompromitteerde MikroTik-router, vier beheerservers en de controllers van het verwarmingssysteem van het district, niet correct was gesegmenteerd, konden ze hardgecodeerde netwerkroutes uitbuiten en de controle over de controllers van het verwarmingssysteem van het district overnemen.

Na ze te hebben gekaapt, degradeerden de aanvallers de firmware naar versies zonder monitoringmogelijkheden om detectie te voorkomen.

“Gezien de alomtegenwoordigheid van het Modbus-protocol in industriële omgevingen, kan deze malware potentieel verstoringen veroorzaken in alle industriële sectoren door interactie met oude en moderne systemen,” waarschuwde Dragos.

Het bedrijf adviseert industriële organisaties om de vijf kritieke controles van SANS voor cyberbeveiliging op wereldniveau voor OT (Operationele Technologie) te implementeren, waaronder “ICS-incidentrespons, verdedigbare architectuur, ICS-netwerkzichtbaarheid en monitoring, veilige externe toegang en risicogebaseerd kwetsbaarheidsbeheer.”