خلص باحثون أمنيون والسلطات الأوكرانية منذ ذلك الحين إلى أن بعض الأوكرانيين في مدينة لفيف اضطروا، لمدة يومين في منتصف شهر يناير، إلى العيش بدون تدفئة مركزية ويعانون من درجات حرارة متجمدة بسبب هجوم إلكتروني ضد شركة طاقة بلدية.
نشرت شركة Dragos للأمن السيبراني، يوم الثلاثاء، تقريرًا يحتوي على تفاصيل حول برنامج ضار جديد يُطلق عليه اسم FrostyGoop، والذي تقول الشركة إنه مصمم لاستهداف أنظمة التحكم الصناعية – في هذه الحالة بالذات، تحديدًا ضد نوع من وحدات التحكم في نظام التدفئة.
وكتب باحثو Dragos في تقريرهم أنهم اكتشفوا البرامج الضارة لأول مرة في أبريل. في تلك المرحلة، لم يكن لدى Dragos مزيد من المعلومات حول FrostyGoop باستثناء عينة البرامج الضارة، ويعتقد أنه تم استخدامه للاختبار فقط. ومع ذلك، في وقت لاحق، حذرت السلطات الأوكرانية دراغوس من أنها عثرت على أدلة على أن البرامج الضارة قد تم استخدامها بشكل نشط في هجوم إلكتروني في لفيف في وقت متأخر من مساء يوم 22 يناير وحتى 23 يناير.
وقال ماغبي جراهام، الباحث في دراغوس، خلال مكالمة مع الصحفيين الذين أطلعوا على التقرير قبل نشره: “أدى ذلك إلى انقطاع التدفئة عن أكثر من 600 مبنى سكني لمدة 48 ساعة تقريبا”.
كتب باحثو دراغوس جراهام وكايل أوميرا وكارولين أهلرز في التقرير أن “معالجة الحادث استغرقت يومين تقريبًا، وخلال هذه الفترة كان على السكان المدنيين تحمل درجات حرارة أقل من الصفر”.
وهذا هو الانقطاع الثالث المعروف المرتبط بالهجمات الإلكترونية التي تضرب الأوكرانيين في السنوات الأخيرة. وبينما قال الباحثون إنه من غير المرجح أن تتسبب البرامج الضارة في انقطاع التيار الكهربائي على نطاق واسع، إلا أنها تظهر جهدًا متزايدًا من قبل المتسللين الخبيثين لاستهداف البنية التحتية الحيوية، مثل شبكات الطاقة.
تم تصميم البرمجيات الخبيثة FrostyGoop للتفاعل مع أجهزة التحكم الصناعية (ICS) عبر Modbus، وهو بروتوكول عمره عقود يستخدم على نطاق واسع في جميع أنحاء العالم للتحكم في الأجهزة في البيئات الصناعية، مما يعني أنه يمكن استخدام FrostyGoop لاستهداف شركات ومنشآت أخرى في أي مكان، وفقًا لـ Dragos. .
وقال جراهام للصحفيين: “يوجد ما لا يقل عن 46000 جهاز ICS مكشوف على الإنترنت والتي تسمح لـ Modbus اليوم”.
قال Dragos إن FrostyGoop هو تاسع برنامج ضار خاص بـ ICS يواجهه على مر السنين. أشهرها هي Industroyer (المعروفة أيضًا باسم CrashOverride)، والتي استخدمتها مجموعة القرصنة الشهيرة Sandworm المرتبطة بالحكومة الروسية لإطفاء الأنوار في كييف، ثم لفصل المحطات الفرعية الكهربائية في أوكرانيا. وبعيدًا عن تلك الهجمات الإلكترونية التي تستهدف أوكرانيا، شهد دراغوس أيضًا استخدام تريتون، الذي تم نشره ضد مصنع بتروكيماويات سعودي وضد منشأة ثانية غير معروفة في وقت لاحق؛ والبرمجيات الخبيثة CosmicEnergy، التي اكتشفها Mandiant العام الماضي.
اتصل بنا
هل لديك المزيد من المعلومات حول هذا الهجوم الإلكتروني؟ أو هجمات مماثلة تستهدف ICS في أوكرانيا وخارجها؟ من جهاز غير خاص بالعمل، يمكنك الاتصال بـ Lorenzo Franceschi-Bicchierai بشكل آمن على Signal على الرقم +1 917 257 1382، أو عبر Telegram وKeybase @lorenzofb، أو البريد الإلكتروني. يمكنك أيضًا الاتصال بـ TechCrunch عبر SecureDrop.
كتب باحثو Dragos أنهم يعتقدون أن المتسللين الذين يسيطرون على البرنامج الضار FrostyGoop تمكنوا أولاً من الوصول إلى شبكة شركة الطاقة البلدية المستهدفة من خلال استغلال ثغرة أمنية في جهاز توجيه Mikrotik المكشوف بالإنترنت. وقال الباحثون إن جهاز التوجيه لم يكن “مجزأ بشكل مناسب” إلى جانب الخوادم ووحدات التحكم الأخرى، بما في ذلك تلك التي صنعتها شركة ENCO الصينية.
قال جراهام في المكالمة إنهم عثروا على وحدات تحكم مفتوحة لـ ENCO في ليتوانيا وأوكرانيا ورومانيا، مما يؤكد مرة أخرى أنه بينما تم استخدام FrostyGoop في هجوم مستهدف في لفيف هذه المرة، يمكن للقراصنة المسيطرين استهداف البرامج الضارة في مكان آخر.
لم تستجب شركة ENCO وموظفوها على الفور لطلب TechCrunch للتعليق.
“لم يحاول الخصوم تدمير المتحكمين. وبدلاً من ذلك، دفع الخصوم وحدات التحكم إلى الإبلاغ عن قياسات غير دقيقة، مما أدى إلى التشغيل غير الصحيح للنظام وفقدان التدفئة للعملاء.
وخلال التحقيق، قال الباحثون إنهم خلصوا إلى أن المتسللين “ربما تمكنوا من الوصول” إلى الشبكة المستهدفة في أبريل 2023، أي قبل عام تقريبًا من نشر البرامج الضارة وإيقاف الحرارة. وفي الأشهر التالية، استمر المتسللون في الوصول إلى الشبكة وفي 22 يناير 2024، اتصلوا بها من خلال عناوين IP في موسكو، وفقًا للتقرير.
على الرغم من عناوين IP الروسية، لم يوجه Dragos أصابع الاتهام إلى أي مجموعة قرصنة معينة أو حكومة معينة باعتبارها مسؤولة عن هذا الانقطاع السيبراني، لأن الشركة لم تتمكن من العثور على روابط للأنشطة أو الأدوات السابقة، وبسبب تاريخ الشركة الطويل وقال جراهام إن سياسة عدم إسناد الهجمات السيبرانية.
ما قاله جراهام هو أنه وزملاؤه يعتقدون أن هذه العملية التخريبية تم إجراؤها عبر الإنترنت – بدلاً من إطلاق الصواريخ على المنشأة – على الأرجح كمحاولة لتقويض معنويات الأوكرانيين الذين يعيشون هناك.
وقال جراهام: “أعتقد أن هذا جهد نفسي إلى حد كبير هنا، وقد تم تسهيله من خلال الوسائل السيبرانية عندما لم تكن الحركية هنا هي الخيار الأفضل”.
أخيرًا، قال فيل تونكينج، كبير مسؤولي التكنولوجيا الميداني في Dragos، إنه على الرغم من أنه من المهم عدم التقليل من أهمية FrostyGoop، إلا أنه من المهم أيضًا عدم المبالغة في تقديره.
وقال خلال المكالمة مع الصحافة: “من المهم أن ندرك أنه على الرغم من أن هذا شيء تم استخدامه بنشاط، إلا أنه من المهم جدًا أيضًا ألا نعتقد أن هذا شيء سوف يسقط على الفور”. شبكة الكهرباء في البلاد.”