Elementrica
03Realizacje04Referencje05Firma06Aktualności07Kontakt
PLENDE

FrostyGoop i cyberzimna wojna: jak złośliwe oprogramowanie zakłóciło lwowską infrastrukturę krytyczną

ElementricaElementrica7 min
FrostyGoop i cyberzimna wojna: jak złośliwe oprogramowanie zakłóciło lwowską infrastrukturę krytyczną

W styczniu 2024 roku cyberatak pozbawił ogrzewania blisko 600 budynków we Lwowie na 48 godzin, przy temperaturze w okolicach zera. Odpowiadało za to złośliwe oprogramowanie nazwane przez firmę Dragos FrostyGoop, atakujące urządzenia przemysłowe przez protokół Modbus. To jeden z niewielu publicznie potwierdzonych przypadków, gdy cyberatak wprost uderzył w komfort i bezpieczeństwo mieszkańców. Poniżej tłumaczymy, jak to możliwe i co z tego wynika dla właścicieli infrastruktury.

Co się stało we Lwowie

Firma Dragos, specjalizująca się w bezpieczeństwie systemów przemysłowych (ICS i OT), przeanalizowała incydent i zidentyfikowała złośliwe oprogramowanie odpowiedzialne za atak, nadając mu nazwę FrostyGoop. Sprawca nie sięgnął po wyrafinowany exploit, tylko po zwykły protokół przemysłowy Modbus.

To nie był wyciek danych ani zablokowany e-mail. To fizyczny skutek cyberataku: zimne mieszkania w środku zimy. Dokładnie tym atak na OT różni się od typowego incydentu IT.

Modbus, czyli protokół bez uwierzytelniania

Modbus to jeden z najpopularniejszych protokołów komunikacyjnych w przemyśle, opracowany w 1979 roku. Mimo wieku wciąż jest wszechobecny, bo jest prosty i niezawodny. Obsługują go urządzenia praktycznie wszystkich największych producentów automatyki.

ProducentPrzykładowe rozwiązanie z Modbus TCP/IP
ABBAdaptery fieldbus Modbus TCP/IP dla napędów
SiemensSterowniki PLC z obsługą Modbus TCP/IP
Mitsubishi ElectricModuł interfejsu Modbus TCP/IP
Schneider ElectricKomunikacja Modbus TCP/IP dla urządzeń
Rockwell AutomationKomunikacja Modbus TCP ze sterownikami Logix

Problem w tym, że Modbus powstał, zanim bezpieczeństwo sieciowe stało się tematem. W wersji TCP/IP nie ma uwierzytelniania ani autoryzacji. Żeby wysłać polecenie do urządzenia, wystarczy znać jego adres IP, port (zwykle 502) i identyfikator urządzenia.

Jak działa FrostyGoop

FrostyGoop to program dla Windows, napisany w języku Go, korzystający z publicznie dostępnych bibliotek Modbus. Działa jak zwykły klient Modbus TCP/IP: potrafi odczytywać i nadpisywać rejestry urządzeń.

Właśnie w tym tkwi jego siła. Rejestry przechowują parametry sterujące pracą urządzeń przemysłowych. Wpisując do nich nieprawidłowe wartości, napastnik zmienia realne działanie sprzętu. Co gorsza, ruch FrostyGoop wygląda jak legalna komunikacja Modbus, więc trudno go odróżnić od normalnej pracy systemu.

Według Dragos napastnicy dostali się do sieci ofiary najprawdopodobniej przez lukę w routerze, a potem wysyłali złośliwe polecenia wprost do sterowników systemu grzewczego marki ENCO. Dodatkowo zdalnie obniżyli klasę urządzeń, przez co odczyty stały się niedokładne, a operatorzy stracili wgląd w sytuację.

Jak groźny jest ten typ ataku

Największe ryzyko dotyczy urządzeń z Modbus TCP/IP wystawionych wprost do internetu. Skoro protokół nie wymaga uwierzytelniania, każdy, kto do nich dotrze, może próbować zmienić wartości rejestrów.

Skala zagrożenia jest realna. Dragos oszacował, że z około 640 000 urządzeń z otwartym portem 502 w internecie około 46 000 może być podatnych. Drugi poziom ryzyka to urządzenia w sieciach wewnętrznych: jeśli napastnik wejdzie do sieci, stają się łatwym celem.

Jak chronić urządzenia Modbus i OT

Najważniejsza zasada jest jedna: urządzenia przemysłowe nie powinny być bezpośrednio dostępne z internetu. Poza tym warto wdrożyć kolejne warstwy ochrony, powiązane ze środkami zaradczymi z MITRE ATT&CK for ICS.

ŚrodekNa czym polega
Segmentacja sieciOdizoluj urządzenia Modbus od reszty sieci, a zwłaszcza od internetu, żeby ograniczyć rozprzestrzenianie się ataku.
Kontrola dostępu i zaporyOgranicz komunikację z urządzeniami tylko do zaufanych adresów IP.
Ciągłe monitorowanieWykrywaj nietypową aktywność w sieci przemysłowej systemami IDS/IPS dostosowanymi do OT.
Szyfrowanie ruchuModbus nie szyfruje danych, ale ruch można tunelować przez VPN.
Regularne audyty i testyAudyty bezpieczeństwa i oceny podatności środowisk ICS/OT, żeby znaleźć słabe punkty, zanim znajdzie je napastnik.

Czego uczy FrostyGoop

FrostyGoop pokazał, że atak na OT nie jest teorią. Prosty protokół bez uwierzytelniania, urządzenie wystawione do sieci i luka w routerze wystarczyły, żeby odciąć ogrzewanie setkom budynków.

Dla właściciela infrastruktury krytycznej wniosek jest praktyczny: bezpieczeństwo OT to nie dodatek do IT, tylko warunek ciągłości działania i bezpieczeństwa ludzi.

Chcesz sprawdzić, czy Twoje urządzenia przemysłowe są wystawione i podatne na taki atak? Umów bezpłatną konsultację. Zweryfikujemy powierzchnię ataku Twojego środowiska OT i wskażemy, co zabezpieczyć w pierwszej kolejności.

Twoje urządzenia OT są wystawione do sieci?

Umów bezpłatną konsultację, a sprawdzimy, czy Twoja infrastruktura przemysłowa jest podatna na atak taki jak FrostyGoop.

Poprzedni
Krótkie wprowadzenie do cyberbezpieczeństwa ICS i OT