Güvenlik araştırmacıları ve Ukrayna yetkilileri, Ocak ayının ortalarında iki gün boyunca Lviv kentinde bazı Ukraynalıların, bir belediye enerji şirketine yönelik siber saldırı nedeniyle merkezi ısıtmadan mahrum kalmak ve dondurucu soğuklara maruz kalmak zorunda kaldıkları sonucuna vardı.
Salı günü, siber güvenlik şirketi Dragos bir rapor yayınladı Şirket, bu özel durumda, özellikle bir tür ısıtma sistemi kontrol cihazına karşı endüstriyel kontrol sistemlerini hedef almak üzere tasarlandığını söylediği FrostyGoop adlı yeni bir kötü amaçlı yazılım hakkında ayrıntılarla birlikte.
Dragos araştırmacıları raporlarında kötü amaçlı yazılımı ilk olarak Nisan ayında tespit ettiklerini yazdılar. O noktada Dragos, FrostyGoop hakkında kötü amaçlı yazılım örneği dışında daha fazla bilgiye sahip değildi ve bunun yalnızca test amaçlı kullanıldığına inanıyordu. Ancak daha sonra Ukraynalı yetkililer Dragos’u, kötü amaçlı yazılımın 22 Ocak akşamı ile 23 Ocak akşamı Lviv’de gerçekleşen bir siber saldırıda aktif olarak kullanıldığına dair kanıt buldukları konusunda uyardı.
Dragos’ta araştırmacı olarak çalışan Magpie Graham, raporun yayınlanmasından önce gazetecilerle yaptığı görüşmede, “Bu da 600’den fazla apartman binasında yaklaşık 48 saat boyunca ısıtma sisteminin bozulmasına neden oldu” dedi.
Dragos araştırmacıları Graham, Kyle O’Meara ve Carolyn Ahlers raporda, “Olayın giderilmesi yaklaşık iki gün sürdü ve bu süre zarfında sivil halk sıfırın altındaki sıcaklıklara dayanmak zorunda kaldı.” ifadelerini kullandı.
Bu, son yıllarda Ukraynalıları vuran siber saldırılarla bağlantılı bilinen üçüncü kesintidir. Araştırmacılar kötü amaçlı yazılımın yaygın kesintilere neden olma ihtimalinin düşük olduğunu söylese de, kötü niyetli bilgisayar korsanlarının enerji şebekeleri gibi kritik altyapıları hedeflemek için artan bir çaba gösterdiğini göstermektedir.
Dragos’a göre FrostyGoop kötü amaçlı yazılımı, endüstriyel ortamlardaki cihazları kontrol etmek için dünya çapında yaygın olarak kullanılan onlarca yıllık bir protokol olan Modbus üzerinden endüstriyel kontrol cihazlarıyla (ICS) etkileşime girecek şekilde tasarlandı; bu da FrostyGoop’un dünyanın her yerindeki diğer şirketleri ve tesisleri hedef almak için kullanılabileceği anlamına geliyor.
Graham, gazetecilere yaptığı açıklamada, “Bugün Modbus’a izin veren en az 46.000 internete açık ICS cihazı var.” dedi.
Dragos, FrostyGoop’un yıllar içinde karşılaştığı dokuzuncu ICS’ye özgü kötü amaçlı yazılım olduğunu söyledi. Bunlardan en ünlüsü, kötü şöhretli Rus hükümeti bağlantılı hack grubu Sandworm tarafından kullanılan Industroyer’dır (CrashOverride olarak da bilinir) Kiev’deki ışıkları kapatın ve daha sonra Ukrayna’daki elektrik trafo merkezlerini devre dışı bırakmak için. Ukrayna’yı hedef alan bu siber saldırıların dışında, Dragos ayrıca Suudi bir petrokimya tesisine ve daha sonra bilinmeyen ikinci bir tesise karşı konuşlandırılan Triton’u ve Mandiant tarafından geçen yıl keşfedilen CosmicEnergy kötü amaçlı yazılımını da gördü.
Bize Ulaşın
Bu siber saldırı hakkında daha fazla bilginiz var mı? Ya da Ukrayna ve ötesinde ICS’yi hedef alan benzer saldırılar? Çalışmayan bir cihazdan Lorenzo Franceschi-Bicchierai ile +1 917 257 1382 numaralı telefondan Signal’den veya @lorenzofb Telegram ve Keybase üzerinden veya e-posta yoluyla güvenli bir şekilde iletişime geçebilirsiniz. Ayrıca SecureDrop üzerinden TechCrunch ile iletişime geçebilirsiniz.
Dragos araştırmacıları, FrostyGoop kötü amaçlı yazılımını kontrol eden bilgisayar korsanlarının, hedeflenen belediye enerji şirketinin ağına ilk olarak internete açık bir Mikrotik yönlendiricisindeki bir güvenlik açığından yararlanarak eriştiğine inandıklarını yazdı. Araştırmacılar, yönlendiricinin, Çinli bir şirket olan ENCO tarafından yapılan bir tanesi de dahil olmak üzere diğer sunucular ve denetleyicilerle birlikte “yeterince bölümlendirilmediğini” söyledi.
Görüşmede, Litvanya, Ukrayna ve Romanya’da açık ENCO denetleyicileri bulduklarını söyleyen Graham, FrostyGoop’un bu kez Lviv’de hedefli bir saldırıda kullanıldığını ancak kontrolü ele geçiren bilgisayar korsanlarının kötü amaçlı yazılımı başka yerlerde de hedef alabileceğinin altını bir kez daha çizdi.
ENCO ve çalışanları TechCrunch’ın yorum talebine hemen yanıt vermedi.
Araştırmacılar, “Rakipler kontrol cihazlarını yok etmeye çalışmadı. Bunun yerine, rakipler kontrol cihazlarının yanlış ölçümler bildirmesine neden oldu ve bu da sistemin yanlış çalışmasına ve müşterilerin ısınma kaybına yol açtı,” diye yazdı.
Araştırmacılar, soruşturma sırasında bilgisayar korsanlarının hedeflenen ağa, kötü amaçlı yazılımı dağıtmadan ve ısıtmayı kapatmadan neredeyse bir yıl önce, Nisan 2023’te “muhtemelen erişim sağladığı” sonucuna vardıklarını söyledi. Rapora göre, bilgisayar korsanları sonraki aylarda ağa erişmeye devam etti ve 22 Ocak 2024’te Moskova merkezli IP adresleri aracılığıyla bağlandı.
Graham, Rus IP adreslerine rağmen Dragos’un bu siber saldırıdan bilinen herhangi bir bilgisayar korsanlığı grubu veya hükümeti sorumlu tutmadığını, çünkü şirketin daha önceki faaliyetlere veya araçlara ilişkin bir bağ bulamadığını ve şirketin uzun süredir devam eden siber saldırıları kimseye atfetmeme politikasının bulunduğunu söyledi.
Graham, kendisinin ve meslektaşlarının, tesise füze fırlatmak yerine internet üzerinden bu yıkıcı operasyonun gerçekleştirildiğine inandıklarını ve bunun muhtemelen orada yaşayan Ukraynalıların moralini bozmak için bir çaba olduğunu söyledi.
Graham, “Bence burada büyük ölçüde psikolojik bir çaba söz konusu, kinetik belki de burada en iyi seçenek olmadığında siber araçlarla kolaylaştırılıyor,” dedi.
Son olarak Dragos’un saha teknoloji sorumlusu Phil Tonking, FrostyGoop’u küçümsememenin önemli olduğunu ancak aynı zamanda abartmamanın da önemli olduğunu söyledi.
Basınla yaptığı görüşmede, “Bunun aktif olarak kullanılan bir şey olduğunu kabul etmek önemli,” dedi, “aynı zamanda bunun ülkenin elektrik şebekesini anında çökertecek bir şey olduğunu düşünmememiz de çok, çok önemli.”
