Araştırmacılar, bilgisayar korsanlarının Ukrayna kentindeki ısıtmayı kötü amaçlı yazılımla kapattığını söylüyor

Güvenlik araştırmacıları ve Ukraynalı yetkililer, Ocak ayı ortasında iki gün boyunca Lviv şehrinde bazı Ukraynalıların merkezi ısıtma olmadan yaşamak zorunda kaldıkları ve belediyeye ait bir enerji şirketine düzenlenen siber saldırı nedeniyle dondurucu soğuklara maruz kaldıkları sonucuna vardı.

Salı günü siber güvenlik şirketi Dragos, FrostyGoop adlı yeni bir kötü amaçlı yazılımın ayrıntılarını içeren bir rapor yayınladı. Şirketin söylediğine göre bu kötü amaçlı yazılım, endüstriyel kontrol sistemlerini (bu özel durumda, özellikle bir tür ısıtma sistemi kontrol cihazını) hedef almak üzere tasarlandı.

Dragos araştırmacıları, raporlarında kötü amaçlı yazılımı ilk kez Nisan ayında tespit ettiklerini yazdı. O noktada Dragos, FrostyGoop hakkında kötü amaçlı yazılım örneği dışında daha fazla bilgiye sahip değildi ve bunun yalnızca test amaçlı kullanıldığına inanıyordu. Ancak daha sonra Ukraynalı yetkililer Dragos’u, kötü amaçlı yazılımın 22 Ocak’tan 23 Ocak’a kadar Lviv’de gerçekleşen bir siber saldırıda aktif olarak kullanıldığına dair kanıtlar buldukları konusunda uyardı.

Dragos’ta araştırmacı olan Magpie Graham, rapor yayınlanmadan önce rapor hakkında bilgi veren gazetecilerle yaptığı görüşmede, “Ve bu, neredeyse 48 saat boyunca 600’den fazla apartmanın ısınmasının kesilmesiyle sonuçlandı” dedi.

Dragos araştırmacıları Graham, Kyle O’Meara ve Carolyn Ahlers raporda “olayın düzeltilmesinin neredeyse iki gün sürdüğünü ve bu süre zarfında sivil halkın sıfırın altındaki sıcaklıklara katlanmak zorunda kaldığını” yazdılar.

Bu, son yıllarda Ukraynalıları hedef alan siber saldırılarla bağlantılı olduğu bilinen üçüncü kesinti. Araştırmacılar, kötü amaçlı yazılımın geniş çaplı kesintilere neden olma ihtimalinin düşük olduğunu söylese de, kötü niyetli bilgisayar korsanlarının enerji şebekeleri gibi kritik altyapıları hedef alma çabalarının arttığını gösteriyor.

FrostyGoop kötü amaçlı yazılımı, endüstriyel ortamlardaki cihazları kontrol etmek için dünya çapında yaygın olarak kullanılan onlarca yıllık bir protokol olan Modbus üzerinden endüstriyel kontrol cihazları (ICS) ile etkileşime girecek şekilde tasarlandı; Dragos’a göre FrostyGoop’un herhangi bir yerdeki diğer şirketleri ve tesisleri hedeflemek için kullanılabileceği anlamına geliyor .

Graham gazetecilere verdiği demeçte, “Bugün Modbus’a izin veren, İnternet’e açık en az 46.000 ICS cihazı var” dedi.

Dragos, FrostyGoop’un yıllar içinde karşılaştığı ICS’ye özgü dokuzuncu kötü amaçlı yazılım olduğunu söyledi. Bunlardan en ünlüsü, Rus hükümetiyle bağlantılı ünlü bilgisayar korsanlığı grubu Sandworm tarafından Kiev’deki ışıkları kapatmak ve daha sonra Ukrayna’daki elektrik trafo merkezlerinin bağlantısını kesmek için kullanılan Industroyer’dir (CrashOverride olarak da bilinir). Dragos, Ukrayna’yı hedef alan siber saldırıların dışında, Suudi bir petrokimya tesisine ve daha sonra bilinmeyen ikinci bir tesise karşı konuşlandırılan Triton’u da gördü; ve geçen yıl Mandiant tarafından keşfedilen CosmicEnergy kötü amaçlı yazılımı.

Dragos araştırmacıları, FrostyGoop kötü amaçlı yazılımını kontrol eden bilgisayar korsanlarının hedeflenen belediye enerji şirketinin ağına ilk olarak internete açık Mikrotik yönlendiricisindeki bir güvenlik açığından yararlanarak erişim sağladıklarına inandıklarını yazdı. Araştırmacılar, yönlendiricinin, Çinli bir şirket olan ENCO tarafından üretilenler de dahil olmak üzere diğer sunucular ve denetleyicilerle birlikte “yeterli şekilde bölümlenmediğini” söyledi.

Graham, çağrıda Litvanya, Ukrayna ve Romanya’da açık ENCO denetleyicileri bulduklarını söyleyerek, FrostyGoop’un bu kez Lviv’de hedefli bir saldırıda kullanıldığını, kontrol altındaki bilgisayar korsanlarının kötü amaçlı yazılımı başka yerlerde hedefleyebileceğinin altını bir kez daha çizdi.

ENCO ve çalışanları TechCrunch’ın yorum talebine hemen yanıt vermedi.

“Düşmanlar kontrolörleri yok etmeye çalışmadı. Bunun yerine, saldırganlar kontrolörlerin hatalı ölçümler raporlamasına neden oldu, bu da sistemin yanlış çalışmasına ve müşterilerin ısınma kaybına yol açtı.” diye yazdı araştırmacılar.

Soruşturma sırasında araştırmacılar, bilgisayar korsanlarının hedeflenen ağa “muhtemelen erişim sağladıklarını”, kötü amaçlı yazılımı dağıtmadan ve ısıyı kapatmadan neredeyse bir yıl önce, Nisan 2023’te elde ettikleri sonucuna vardıklarını söyledi. Rapora göre, sonraki aylarda bilgisayar korsanları ağa erişmeye devam etti ve 22 Ocak 2024’te Moskova merkezli IP adresleri aracılığıyla bağlandılar.

Rusya’daki IP adreslerine rağmen Dragos, bu siber kesintinin sorumlusu olarak bilinen herhangi bir hack grubunu veya hükümetini işaret etmedi çünkü şirket daha önceki faaliyetler veya araçlarla bağlantı bulamadı ve şirketin uzun süredir devam eden ilişkileri nedeniyle Graham, siber saldırılara atfedilmemeye ilişkin politikanın benimsendiğini söyledi.

Graham, kendisi ve meslektaşlarının bu yıkıcı operasyonun, tesise füze fırlatmak yerine, muhtemelen orada yaşayan Ukraynalıların moralini bozmak amacıyla internet üzerinden yürütüldüğüne inandıklarını söyledi.

Graham, “Kinetiğin belki de en iyi seçim olmadığı durumlarda, bunun siber yöntemlerle kolaylaştırılan psikolojik bir çaba olduğunu düşünüyorum” dedi.

Son olarak Dragos’un saha teknoloji sorumlusu Phil Tonking, FrostyGoop’u küçümsememek önemli olsa da abartmamak da önemli olduğunu söyledi.

Basınla yaptığı görüşme sırasında şunları söyledi: “Bunun aktif olarak kullanılan bir şey olduğunu kabul etmek önemli, bunun aynı zamanda hemen çökecek bir şey olduğunu düşünmememiz de çok ama çok önemli.” ülkenin elektrik şebekesi.”