Lvivteploenergo, WIRED’ın yorum talebine yanıt vermedi, SBU da yanıt vermedi. Ukrayna’nın siber güvenlik ajansı, Özel İletişim ve Bilgi Koruma Devlet Hizmetleri yorum yapmayı reddetti.
Dragos, ısıtma tesisatı saldırısının dökümünde, FrostyGoop kötü amaçlı yazılımının Litvanya firması Axis Industries tarafından satılan Modbus özellikli endüstriyel izleme araçları olan ENCO kontrol cihazlarını hedeflemek ve sıcak su akışını kapatmak için sıcaklık çıktılarını değiştirmek için kullanıldığını söylüyor. Dragos, bilgisayar korsanlarının saldırıdan aylar önce, Nisan 2023’te, bir giriş noktası olarak savunmasız bir MikroTik yönlendiriciyi kullanarak ağa erişim elde ettiğini söylüyor. Daha sonra, Moskova’daki IP adreslerine geri bağlanan ağa kendi VPN bağlantılarını kurdular.
Dragos, Rusya bağlantısına rağmen, ısıtma tesisine yapılan izinsiz girişi izlediği bilinen herhangi bir hacker grubuna bağlamadığını söylüyor. Dragos, özellikle örneğin, hacklemeyi, Dragos’un daha yaygın olarak Sandworm olarak bilinen gruplar için kullandığı Kamacite veya Electrum gibi olağan şüphelilere bağlamadığını belirtti. Bu gruplar, Rusya’nın askeri istihbarat teşkilatı GRU’nun kötü şöhretli bir birimidir.
Dragos, bilgisayar korsanlarının ENCO cihazlarını hedef alan ve hizmetin hizmetini çökerten FrostyGoop’un Modbus komutlarını göndermek için ısıtma şirketinin ağına yaptıkları ihlali kullandıklarını, ancak kötü amaçlı yazılımın kurbanın ağında değil, bilgisayar korsanlarının kendi bilgisayarında barındırılmış gibi göründüğünü buldu. Bu, savunmasız Modbus cihazlarını korumak için ağ izleme ve segmentasyon yerine yalnızca basit bir antivirüsün, aracın gelecekteki kullanımını muhtemelen engellemeyeceği anlamına geliyor, diyor Dragos analisti Mark “Magpie” Graham. Graham, “Cihazlarla uzaktan etkileşime girebilmesi, mutlaka hedef ortama dağıtılması gerekmediği anlamına geliyor,” diyor. “Onu ortamda asla göremezsiniz, yalnızca etkilerini görebilirsiniz.”
Lviv ısıtma tesisindeki ENCO cihazları ağ içinden hedef alınırken, Dragos ayrıca bulduğu daha önceki FrostyGoop sürümünün açık internet üzerinden herkesin erişebildiği bir ENCO cihazını hedef alacak şekilde yapılandırıldığı konusunda uyarıyor. Dragos kendi taramalarında, çevrimiçi ortamda benzer şekilde savunmasız bırakılmış en az 40 ENCO cihazı bulduğunu söylüyor. Şirket, aslında internete bağlı on binlerce başka Modbus etkin cihazın da aynı şekilde hedef alınabileceği konusunda uyarıyor. Graham, “FrostyGoop’un bu cihazların büyük bir kısmıyla etkileşime girebileceğini düşünüyoruz ve hangi cihazların gerçekten savunmasız olduğunu doğrulamak için araştırma yürütüyoruz” diyor.
Dragos, Lviv saldırısını resmen Rus hükümetine bağlamamış olsa da Graham, saldırıyı Rusya’nın ülkeye karşı savaşının bir parçası olarak tanımlamaktan kaçınmıyor; bu savaş, 2022’den beri Ukrayna’nın kritik altyapısını bombalarla acımasızca yok etti ve siber saldırılar çok daha erken, 2014’ten beri başladı. Ukrayna’nın kışının ortasında ısıtma altyapısının dijital olarak hedef alınmasının, aslında Ukraynalıların Rus füzelerini düşürme yeteneklerinin artmasının, Rusya’yı özellikle Batı Ukrayna’da bilgisayar korsanlığına dayalı sabotaja geri ittiğinin bir işareti olabileceğini savunuyor. Graham, “Siber saldırılar aslında oradaki bir şehre karşı daha etkili veya başarılı olma olasılığı daha yüksek olabilirken, kinetik silahlar daha yakın mesafeden hala başarılı olabilir,” diyor. “Cephanelikteki mevcut araçların tam spektrumunu, tam gamını kullanmaya çalışıyorlar.”
Ancak bu araçlar gelişirken Graham, bilgisayar korsanlarının hedeflerini Rusya’nın komşusunu terörize etme konusundaki on yıllık tarihinde pek değişmeyen terimlerle açıklıyor: Ukrayna’nın direnme isteğini baltalamayı amaçlayan psikolojik savaş. Graham, “Halkın iradesini böyle kırarsınız,” diyor. “Bütün kış boyunca ısıtmayı aksatmayı amaçlamıyordu. Ama insanların düşünmesini sağlayacak kadar, bu doğru hareket mi? Savaşmaya devam mı edeceğiz?”