Hacker winter

2024年1月、ウクライナのリヴィウで氷点下の気温の中、2日間にわたり600棟以上のアパートの暖房を遮断するサイバー攻撃が行われ、ロシアに関連したマルウェアが使用された。

LB.UAの報道によると、この攻撃により地域暖房会社Lvivteploenergoは1月23日に暖房サービスを停止せざるを得なくなり、リヴィウのSykhiv住宅地全体で10万人以上に影響が及んだ。

この攻撃で使用されたWindowsマルウェアFrostyGoopは、あらゆる産業分野で標準的なICSプロトコルであるModbus TCP通信を使用する産業用制御システム(ICS)を標的にするように設計されている。

このマルウェアは2024年4月にサイバーセキュリティ企業のDragos社によって初めて発見され、同社の研究者は当初、まだテスト中であると考えていた。しかし、ウクライナのサイバーセキュリティ状況センター(CSSC)は、このマルウェアが攻撃に使用されていることの詳細を共有し、1月にリヴィウで発生した暖房停止と関連付けた。

「2024年1月22日の深夜から1月23日にかけて、敵対者はウクライナのリヴィウにある市営の地域エネルギー会社に対して混乱攻撃を行った」と、CSSCが共有した情報に基づいてドラゴスは述べた

「攻撃当時、この施設はリヴィウ都市圏の600棟以上のアパートに給電し、顧客にセントラルヒーティングを供給していた。事故の復旧にはほぼ2日間を要し、その間、市民は氷点下の気温に耐えなければならなかった”

FrostyGoopは、野生で発見された9番目のICSマルウェアであり、その多くはロシアの脅威グループや攻撃インフラに関連している。最近では、MandiantがCosmicEnergyを発見し、ESETがSandwormのハッカーがウクライナの大手エネルギー・プロバイダーを標的にした攻撃に失敗したIndustroyer2を発見している。

ネットワーク侵入はほぼ1年前

2024年1月にリヴィウで発生したサイバー攻撃に関する調査によると、攻撃者はほぼ1年前の2023年4月17日に、インターネットに公開されたMikrotikルーターの未確認の脆弱性を悪用して、Lvivteploenergoのネットワークに侵入した可能性があることが判明した。

その3日後、彼らはアクセスを維持できるウェブシェルを展開し、11月と12月に侵入したネットワークに接続し、セキュリティ・アカウント・マネージャー(SAM)レジストリ・ハイブからユーザー認証情報を盗み出した。

攻撃当日、攻撃者はモスクワを拠点とするIPアドレスからのL2TP(Layer Two Tunnelling Protocol)接続を使用して、地域エネルギー会社のネットワーク資産にアクセスしました。

侵害されたMikroTikルーター、4台の管理サーバー、および地区の暖房システム・コントローラーを含むLvivteploenergoのネットワークは正しくセグメント化されていなかったため、彼らはハードコードされたネットワーク経路を悪用し、地区の暖房システム・コントローラーを制御することができました。

乗っ取った後、攻撃者は検知を逃れるためにファームウェアを監視機能のないバージョンにダウングレードした。

「産業環境におけるModbusプロトコルのユビキタス性を考えると、このマルウェアは、レガシーおよび最新のシステムと相互作用することで、すべての産業部門に混乱を引き起こす可能性がある」とドラゴスは警告している。

同社は、「ICSインシデント対応、防御可能なアーキテクチャ、ICSネットワークの可視化と監視、安全なリモートアクセス、リスクベースの脆弱性管理」を含む、SANS 5 Critical Controls for World-Class OT Cybersecurityを実施するよう産業組織に助言している。

更新:2024年1月のLvivteploenergo攻撃に関する詳細情報を追加しました。