Im Januar mussten einige Bewohner der Stadt Lwiw in der Ukraine zwei Tage lang ohne Zentralheizung leben und extreme Kälte ertragen, weil es zu einem Cyberangriff auf ein städtisches Energieunternehmen kam, wie Sicherheitsforscher und ukrainische Behörden später feststellten.
Am Dienstag veröffentlichte das Cybersicherheitsunternehmen Dragos einen Bericht mit Details zu einer neuen Malware namens FrostyGoop, die laut dem Unternehmen darauf ausgelegt ist, industrielle Steuerungssysteme anzugreifen – in diesem speziellen Fall gezielt auf einen bestimmten Heizungssystemcontroller.
Dragos-Forscher schrieben in ihrem Bericht, dass sie die Malware erstmals im April entdeckten. Zu diesem Zeitpunkt hatte Dragos nur Informationen über das Malware-Muster und glaubte, dass es nur zu Testzwecken verwendet wurde. Später jedoch warnten ukrainische Behörden Dragos, dass sie Beweise dafür gefunden hatten, dass die Malware aktiv bei einem Cyberangriff in Lwiw in der späten Nacht vom 22. Januar bis zum 23. Januar eingesetzt wurde.
„Und das führte dazu, dass die Heizung in über 600 Wohngebäuden fast 48 Stunden lang ausfiel“, sagte Mark „Magpie“ Graham, ein Forscher bei Dragos, während eines Anrufs mit Reportern, die vor der Veröffentlichung des Berichts informiert wurden.
Ein Sprecher des Sicherheitsrates der Ukraine teilte TechCrunch in einer E-Mail mit, dass er an den Reaktionsmaßnahmen beteiligt war, die nach dem Angriff ergriffen wurden.
„Infolgedessen wurden die Folgen des Cyberangriffs schnell neutralisiert und die Dienste wiederhergestellt“, erklärte der Sprecher in einer per Maschine übersetzten E-Mail in ukrainischer Sprache. Der Sprecher bestätigte, dass der Angriff im Januar 2024 stattfand und mehr als 600 Haushalte in der Stadt betroffen waren. Der Sprecher sagte auch, dass die Hacker „die Informations- und Kommunikationsinfrastruktur von LvivTeploEnergo“ angriffen, einem großen Lieferanten von Wärme und Warmwasser.
Dragos-Forscher Graham, Kyle O’Meara und Carolyn Ahlers schrieben in dem Bericht, dass „die Behebung des Vorfalls fast zwei Tage dauerte, während dieser Zeit musste die Zivilbevölkerung Minusgrade ertragen“.
Dies ist der dritte bekannte Ausfall, der in den letzten Jahren bei Ukrainern aufgrund von Cyberangriffen auftrat. Auch wenn die Forscher sagten, dass die Malware wahrscheinlich keine weitreichenden Ausfälle verursachen werde, zeigt dies eine verstärkte Bemühung von bösartigen Hackern, kritische Infrastrukturen wie Energieversorgungsnetze anzugreifen.
Die FrostyGoop-Malware ist darauf ausgelegt, mit industriellen Steuerungseinrichtungen (ICS) über Modbus zu interagieren, einem seit Jahrzehnten weit verbreiteten Protokoll, das weltweit zur Steuerung von Geräten in industriellen Umgebungen verwendet wird. Das bedeutet, dass FrostyGoop auch dazu verwendet werden könnte, andere Unternehmen und Einrichtungen an anderen Orten anzugreifen, so Dragos.
„Es gibt mindestens 46.000 im Internet zugängliche ICS-Geräte, die Modbus erlauben“, sagte Graham gegenüber Reportern.
Dragos sagte, dass FrostyGoop die neunte ICS-spezifische Malware sei, auf die das Unternehmen im Laufe der Jahre gestoßen sei. Die bekannteste davon sind Industroyer (auch bekannt als CrashOverride), das von der berüchtigten russischen Regierungs-hacking-Gruppe Sandworm verwendet wurde, um das Licht in Kiew auszuschalten und später, um elektrische Unterstationen in der Ukraine zu trennen. Außerhalb dieser Cyberangriffe auf die Ukraine hat Dragos auch Triton gesehen, das gegen ein saudi-arabisches petrochemisches Werk eingesetzt wurde und später gegen eine unbekannte zweite Einrichtung; sowie die CosmicEnergy-Malware, die im letzten Jahr von Mandiant entdeckt wurde.
Kontaktieren Sie uns
Wenn Sie weitere Informationen zu diesem Cyberangriff haben oder ähnliche Angriffe auf ICS in der Ukraine und darüber hinaus kennen, können Sie Lorenzo Franceschi-Bicchierai sicher über Signal unter +1 917 257 1382, über Telegram und Keybase @lorenzofb oder per E-Mail kontaktieren. Sie können sich auch über SecureDrop an TechCrunch wenden.
Dragos-Forscher schrieben, dass sie glauben, dass die Hacker hinter der FrostyGoop-Malware zunächst Zugang zum Netzwerk des gezielten städtischen Energieunternehmens erlangten, indem sie eine Schwachstelle in einem internetexponierten MikroTik-Router ausnutzten. Die Forscher sagten, dass der Router nicht „angemessen segmentiert“ war und auch andere Server und Controller, darunter ein von ENCO, einem chinesischen Unternehmen, hergestellter, nicht angemessen abgesichert war.
Graham sagte in dem Anruf, dass sie offene ENCO-Controller in Litauen, der Ukraine und Rumänien gefunden haben, was erneut zeigt, dass während FrostyGoop dieses Mal bei einem gezielten Angriff in Lwiw eingesetzt wurde, die Hacker die Malware auch an anderen Orten einsetzen könnten.
ENCO und seine Mitarbeiter reagierten nicht unmittelbar auf die Anfrage von TechCrunch.
„Die Angreifer versuchten nicht, die Controller zu zerstören. Stattdessen veranlassten sie die Controller, falsche Messwerte zu melden, was zu falschem Betrieb des Systems und zum Ausfall der Heizungen bei den Kunden führte“, schrieben die Forscher.
Während der Untersuchung kamen die Forscher zu dem Schluss, dass die Hacker „möglicherweise im April 2023 Zugang zum gezielten Netzwerk erhalten hatten, fast ein Jahr bevor sie die Malware einsetzten und die Heizung ausschalteten. In den folgenden Monaten blieben die Hacker auf das Netzwerk zugreifen und am 22. Januar 2024 verbanden sie sich mit dem Netzwerk über in Moskau ansässige IP-Adressen, so der Bericht.
Trotz der russischen IP-Adressen wies Dragos nicht auf eine bestimmte bekannte Hacking-Gruppe oder Regierung hin, die für diesen durch Cyber ermöglichten Ausfall verantwortlich war, weil das Unternehmen keine Verbindungen zu früheren Aktivitäten oder Tools feststellen konnte und aufgrund der langjährigen Politik des Unternehmens, keine Cyberangriffe zuzuweisen, sagte Graham.
Was Graham jedoch sagte, war, dass er und seine Kollegen glauben, dass diese disruptive Operation über das Internet durchgeführt wurde – im Gegensatz dazu, Raketen gegen die Einrichtung abzufeuern – wahrscheinlich als Versuch, die Moral der in der Ukraine lebenden Menschen zu untergraben.
„Ich denke, es handelt sich hierbei sehr stark um einen psychologischen Versuch, der durch cybernetische Mittel erleichtert wurde, wenn kinetische Mittel hier vielleicht nicht die beste Wahl waren“, sagte Graham.
Schließlich sagte Phil Tonkin, Field-CTO von Dragos, dass es wichtig sei, FrostyGoop nicht herunterzuspielen, aber auch wichtig, es nicht überzubewerten.
„Es ist wichtig zu erkennen, dass obwohl dies etwas ist, das aktiv verwendet wurde“, sagte er während des Anrufs mit der Presse, „ist es auch sehr, sehr wichtig, dass wir nicht denken, dass dies etwas ist, das sofort das nationale Stromnetz zum Zusammenbruch bringen wird.“
Dieser Artikel wurde aktualisiert, um Kommentare des Sicherheitsrates der Ukraine einzuschließen.
