کشف بدافزار جدید در حمله به شرکت انرژی اوکراین

به گزارش کارگروه حملات سایبری سایبربان؛ محققان نوع جدیدی از بدافزار را کشف کردند که احتمالاً در حمله ژانویه امسال علیه یک شرکت انرژی در غرب اوکراین مورد استفاده قرار گرفت که 600 خانوار در دمای انجماد بدون گرما رها شدند.

به گفته محققان شرکت امنیت سایبری صنعتی دراگوس (Dragos)، این ابزار که «FrostyGoop» نام دارد، یکی از معدود گونه‌های بدافزار کشف شده در طبیعت است که می‌تواند مستقیماً با سیستم‌های کنترل صنعتی تعامل داشته باشد و بر سخت‌افزار مورد استفاده شرکت‌های هدف اثر بگذارد. آن را کشف و تحلیل کرد.

سرویس امنیتی اوکراین (SBU) گفت که در جریان این حمله هکرها زیرساخت تأسیسات انرژی «Lvivteploenergo» مستقر در «Lviv» را به خطر انداختند.

سخنگوی این آژانس ادعا کرد :

«این حمله منجر به قطع موقت آب گرم و گرمایش بیش از 600 خانوار در شهر شد. پیامدهای حمله سایبری به سرعت خنثی شد و خدمات مجدداً برقرار شد. شرکت طبق معمول به کار خود ادامه داد.»

براساس گزارش‌های رسانه‌های محلی در آن زمان، اختلال در Lvivteploenergo بر ساکنان منطقه Lviv به نام «Sykhiv» که حدود 100 هزار نفر در آن زندگی می‌کنند، تأثیر گذاشت.

بدافزار FrostyGoop

دراگوس FrostyGoop را در آوریل 2024 کشف کرد. محققان گفتند که این بدافزار برای سیستم‌های ویندوز کامپایل شده و توسط فروشندگان آنتی‌ویروس قابل شناسایی نبوده است.

این بدافزار پروتکل محبوب «Modbus» را هدف قرار می‌دهد که برای انتقال داده‌ها بین دستگاه‌های مختلف، معمولاً در سیستم‌های اتوماسیون صنعتی استفاده می‌شود. محققان عنوان کردند که FrostyGoop اولین بدافزار در نوع خود است که از Modbus برای اختلال در سیستم‌های کنترل کننده دستگاه‌های فیزیکی استفاده می‌کند.

مگی گراهام (Magpie Graham)، محقق دراگوس، طی یک کنفرانس مطبوعاتی توضیح داد که Modbus یک پروتکل قدیمی است که به یک استاندارد صنعتی تبدیل شده، اما بسیار امن نیست.

به گفته محققان، در طول حمله به Lviveploenergo، مهاجمان دستورات Modbus را برای کنترل‌کننده‌های «ENCO» ارسال کردند که برای کنترل ماژول‌های پست گرمایش منطقه‌ای یا فرآیندهای کارخانه دیگ بخار طراحی شده بودند، که باعث اندازه‌گیری نادرست و نقص در سیستم می‌شد.

محققان اظهار داشتند :

«با توجه به فراگیر بودن پروتکل Modbus در محیط‌های صنعتی، این بدافزار به طور بالقوه می‌تواند با تعامل با سیستم‌های قدیمی و مدرن باعث اختلال در تمام بخش‌های صنعتی شود.»

دراگوس FrostyGoop را به یک عامل تهدید خاص نسبت نداد، اما اشاره کرد که قبل از این حادثه، مهاجمان از آدرس‌های آی‌پی (IP) مستقر در مسکو به شبکه سیستم انرژی متصل می‌شدند.

حملات مرتبط با روسیه

کارشناسان ادعا کردند که روسیه به شدت زیرساخت‌های حیاتی اوکراین را با حملات سایبری و موشکی هدف قرار داده است. در نتیجه این حملات، بخش انرژی اوکراین متحمل 56 میلیارد دلار خسارت شده و این کشور را مجبور کرده تا چندین بار در روز قطعی‌های برنامه‌ریزی شده برق تا 6 ساعت به طول انجامد و مردم را بدون برق، اینترنت و اغلب گاز و آب رها کند.

بنابر ادعای محققان، گروه‌های هکری تحت حمایت کرملین قبلاً تأسیسات انرژی اوکراین را با حملات سایبری مخرب هدف قرار داده‌اند که باعث آسیب‌های بیشتر شده است.

در اوایل ماه آوریل امسال، تیم واکنش اضطراری رایانه‌ای اوکراین (CERT-UA) گزارش داد که گروه هکری تحت کنترل کرملین موسوم به کرم شنی (Sandworm)، نزدیک به 20 تأسیسات انرژی در اوکراین را در بهار آن سال، احتمالاً برای تقویت تأثیر حملات موشکی و پهپادهای روسیه بر زیرساخت‌های حیاتی، هدف قرار داده است.

در طی آخرین حملات به زیرساخت‌های حیاتی اوکراین، این گروه از یک درب پشتی کمتر شناخته شده به نام «Kapeka» استفاده کرد. تیم واکنش اضطراری رایانه‌ای اوکراین همچنین انواع جدیدی از Kapeka مبتنی بر لینوکس را که توسط «Loadgrip» و «Biasboat» توسعه یافته، شناسایی کرد. به گفته محققان، آنها روی دستگاه‌های لینوکس اوکراینی نصب شده‌اند که برای خودکارسازی فرآیندهای فناوری در تأسیسات حیاتی طراحی شده‌اند.

مقامات دولتی اوکراین قبلاً گفته بودند که روسیه حملات موشکی خود را با حملات سایبری از جمله زمانی که تأسیسات انرژی را هدف قرار می‌دهد، هماهنگ می‌کند. محققان دریافتند که Sandworm، به‌ویژه، زمان‌بندی حملات سایبری خود را با فعالیت‌های نظامی متعارف، مانند حملات جنبشی یا سایر اشکال خرابکاری، هماهنگ کرده است.