Ocak 2024’te Ukrayna’nın Lviv kentinde sıfırın altındaki sıcaklıklarda iki gün boyunca 600’den fazla apartmanın ısınmasının kesilmesi amacıyla Rusya bağlantılı kötü amaçlı yazılım kullanıldı.
Bu saldırıda kullanılan Windows zararlı yazılımı FrostyGoop, tüm endüstriyel sektörlerde standart bir ICS protokolü olan Modbus TCP iletişimini kullanarak endüstriyel kontrol sistemlerini (ICS) hedef alacak şekilde tasarlanmıştır.
İlk olarak Nisan 2024’te siber güvenlik şirketi Dragos tarafından keşfedildi, araştırmacılar başlangıçta hala test aşamasında olduğuna inanıyorlardı. Ancak Ukrayna’nın Siber Güvenlik Durum Merkezi (CSSC), kötü amaçlı yazılımın saldırılarda kullanıldığına dair ayrıntıları paylaştı ve bunu Lviv’deki Ocak ayındaki ısıtma kesintisiyle ilişkilendirdi.
Dragos, CSSC tarafından paylaşılan bilgilere dayanarak, “22 Ocak 2024 akşamı, 23 Ocak’a kadar, düşmanlar Ukrayna’nın Lviv kentindeki bir belediye bölge enerji şirketine bir kesinti saldırısı düzenledi” dedi.
“Saldırı sırasında bu tesis Lviv metropol alanındaki 600’den fazla apartman binasına elektrik sağlıyordu ve müşterilere merkezi ısıtma sağlıyordu. Olayın giderilmesi neredeyse iki gün sürdü ve bu süre zarfında sivil halk sıfırın altındaki sıcaklıklara katlanmak zorunda kaldı.”
FrostyGoop, doğada keşfedilen dokuzuncu ICS kötü amaçlı yazılımıdır ve bunların çoğu Rus tehdit grupları ve saldırı altyapısıyla bağlantılıdır. En son Mandiant, CosmicEnergy’yi keşfetti ve ESET, başarısız bir saldırıda Sandworm korsanları tarafından büyük bir Ukraynalı enerji sağlayıcısını hedef almak için Industroyer2’nin kullanıldığını tespit etti.
Ağ yaklaşık bir yıl önce ihlal edildi
Ocak 2024’te Lviv’de gerçekleşen siber saldırıya ilişkin yapılan inceleme, saldırganların yaklaşık bir yıl önce, 17 Nisan 2023’te, İnternet’e açık bir Mikrotik yönlendiricisindeki tanımlanamayan bir güvenlik açığından yararlanarak kurbanın ağına girmiş olabileceğini ortaya koydu.
Üç gün sonra, erişimlerini sürdürmelerine olanak tanıyan ve Kasım ve Aralık aylarında ihlal edilen ağa bağlanmalarına yardımcı olan bir web kabuğu dağıttılar ve Güvenlik Hesabı Yöneticisi (SAM) kayıt defteri kovanından kullanıcı kimlik bilgilerini çaldılar.
Saldırı günü saldırganlar, Moskova merkezli IP adreslerinden L2TP (İkinci Katman Tünelleme Protokolü) bağlantılarını kullanarak bölge enerji şirketinin ağ varlıklarına eriştiler.
MikroTik yönlendirici, dört yönetim sunucusu ve ilçenin ısıtma sistemi kontrolörlerini de içeren ağ doğru şekilde bölümlendirilmediğinden, sabit kodlu ağ rotalarını istismar ederek ilçenin ısıtma sistemi kontrolörlerinin kontrolünü ele geçirebilirler.
Saldırganlar, yazılımları ele geçirdikten sonra tespit edilmekten kaçınmak için aygıt yazılımlarını izleme özelliği olmayan sürümlere düşürdüler.
Dragos, “Modbus protokolünün endüstriyel ortamlarda yaygınlığı göz önüne alındığında, bu kötü amaçlı yazılımın eski ve modern sistemlerle etkileşime girerek tüm endüstriyel sektörlerde kesintilere neden olma potansiyeli var” uyarısında bulundu.
Şirket, endüstriyel kuruluşlara, “ICS olay müdahalesi, savunulabilir mimari, ICS ağ görünürlüğü ve izleme, güvenli uzaktan erişim ve risk tabanlı güvenlik açığı yönetimi” dahil olmak üzere Dünya Standartlarında OT Siber Güvenliği için SANS 5 Kritik Kontrollerini uygulamalarını tavsiye ediyor.