Un logiciel malveillant lié à la Russie a été utilisé lors d’une cyberattaque de janvier 2024 pour couper le chauffage de plus de 600 immeubles résidentiels à Lviv, en Ukraine, pendant deux jours par des températures inférieures à zéro.
FrostyGoop, le malware Windows utilisé dans cette attaque, est conçu pour cibler le système de contrôle industriel (ICS) à l’aide des communications Modbus TCP, un protocole ICS standard dans tous les secteurs industriels.
Il a été découvert pour la première fois par la société de cybersécurité Dragos en avril 2024, dont les chercheurs pensaient initialement qu’il était encore en cours de test. Cependant, le Centre ukrainien de situation en matière de cybersécurité (CSSC) a partagé des détails selon lesquels le logiciel malveillant était utilisé dans des attaques et l’a lié à la panne de chauffage de janvier à Lviv.
« En fin de soirée du 22 janvier 2024 au 23 janvier, des adversaires ont mené une attaque de perturbation contre une société d’énergie municipale de district à Lviv, en Ukraine », a déclaré Dragos, sur la base d’informations partagées par le CSSC.
« Au moment de l’attaque, cette installation alimentait plus de 600 immeubles d’appartements dans la région métropolitaine de Lviv, approvisionnant les clients en chauffage central. L’assainissement de l’incident a pris près de deux jours, pendant lesquels la population civile a dû endurer des températures inférieures à zéro. »
FrostyGoop est le neuvième malware ICS découvert dans la nature, dont beaucoup sont liés à des groupes de menaces et à une infrastructure d’attaque russes. Plus récemment, Mandiant a découvert CosmicEnergy et ESET a repéré Industroyer2 utilisé par des pirates informatiques pour cibler un grand fournisseur d’énergie ukrainien lors d’une attaque ratée.
Le réseau a été piraté près d’un an plus tôt
Une enquête sur la cyberattaque de janvier 2024 à Lviv a montré que les attaquants étaient peut-être entrés dans le réseau de la victime près d’un an plus tôt, le 17 avril 2023, en exploitant une vulnérabilité non identifiée dans un routeur Mikrotik exposé à Internet.
Trois jours plus tard, ils ont déployé un webshell qui leur a permis de conserver l’accès et les a aidés à se connecter au réseau piraté en novembre et décembre pour voler les informations d’identification des utilisateurs de la ruche de registre SAM (Security Account Manager).
Le jour de l’attaque, les attaquants ont utilisé des connexions L2TP (Layer Two Tunnelling Protocol) à partir d’adresses IP basées à Moscou pour accéder aux actifs du réseau de la compagnie d’énergie de district.
Étant donné que le réseau, y compris le routeur MikroTik compromis, quatre serveurs de gestion et les contrôleurs du système de chauffage du quartier, n’était pas correctement segmenté, ils pouvaient exploiter des itinéraires réseau codés en dur et prendre le contrôle des contrôleurs du système de chauffage du quartier.
Après les avoir détournés, les attaquants ont rétrogradé le micrologiciel vers des versions dépourvues de capacités de surveillance pour échapper à la détection.
« Compte tenu de l’omniprésence du protocole Modbus dans les environnements industriels, ce logiciel malveillant peut potentiellement provoquer des perturbations dans tous les secteurs industriels en interagissant avec les systèmes hérités et modernes », a averti Dragos.
La société conseille aux organisations industrielles de mettre en œuvre les contrôles critiques SANS 5 pour une cybersécurité OT de classe mondiale, notamment « la réponse aux incidents ICS, l’architecture défendable, la visibilité et la surveillance du réseau ICS, l’accès à distance sécurisé et la gestion des vulnérabilités basée sur les risques. »