FrostyGoop i cyberzimna wojna: jak złośliwe oprogramowanie zakłóciło lwowską infrastrukturę krytyczną

W styczniu 2024 roku cyberatak pozbawił ogrzewania blisko 600 budynków we Lwowie na 48 godzin, przy temperaturze w okolicach zera. Odpowiadało za to złośliwe oprogramowanie nazwane przez firmę Dragos FrostyGoop, atakujące urządzenia przemysłowe przez protokół Modbus. To jeden z niewielu publicznie potwierdzonych przypadków, gdy cyberatak wprost uderzył w komfort i bezpieczeństwo mieszkańców. Poniżej tłumaczymy, jak to możliwe i co z tego wynika dla właścicieli infrastruktury.
Co się stało we Lwowie
Firma Dragos, specjalizująca się w bezpieczeństwie systemów przemysłowych (ICS i OT), przeanalizowała incydent i zidentyfikowała złośliwe oprogramowanie odpowiedzialne za atak, nadając mu nazwę FrostyGoop. Sprawca nie sięgnął po wyrafinowany exploit, tylko po zwykły protokół przemysłowy Modbus.
To nie był wyciek danych ani zablokowany e-mail. To fizyczny skutek cyberataku: zimne mieszkania w środku zimy. Dokładnie tym atak na OT różni się od typowego incydentu IT.
Modbus, czyli protokół bez uwierzytelniania
Modbus to jeden z najpopularniejszych protokołów komunikacyjnych w przemyśle, opracowany w 1979 roku. Mimo wieku wciąż jest wszechobecny, bo jest prosty i niezawodny. Obsługują go urządzenia praktycznie wszystkich największych producentów automatyki.
Problem w tym, że Modbus powstał, zanim bezpieczeństwo sieciowe stało się tematem. W wersji TCP/IP nie ma uwierzytelniania ani autoryzacji. Żeby wysłać polecenie do urządzenia, wystarczy znać jego adres IP, port (zwykle 502) i identyfikator urządzenia.
Jak działa FrostyGoop
FrostyGoop to program dla Windows, napisany w języku Go, korzystający z publicznie dostępnych bibliotek Modbus. Działa jak zwykły klient Modbus TCP/IP: potrafi odczytywać i nadpisywać rejestry urządzeń.
Właśnie w tym tkwi jego siła. Rejestry przechowują parametry sterujące pracą urządzeń przemysłowych. Wpisując do nich nieprawidłowe wartości, napastnik zmienia realne działanie sprzętu. Co gorsza, ruch FrostyGoop wygląda jak legalna komunikacja Modbus, więc trudno go odróżnić od normalnej pracy systemu.
Według Dragos napastnicy dostali się do sieci ofiary najprawdopodobniej przez lukę w routerze, a potem wysyłali złośliwe polecenia wprost do sterowników systemu grzewczego marki ENCO. Dodatkowo zdalnie obniżyli klasę urządzeń, przez co odczyty stały się niedokładne, a operatorzy stracili wgląd w sytuację.
Jak groźny jest ten typ ataku
Największe ryzyko dotyczy urządzeń z Modbus TCP/IP wystawionych wprost do internetu. Skoro protokół nie wymaga uwierzytelniania, każdy, kto do nich dotrze, może próbować zmienić wartości rejestrów.
Skala zagrożenia jest realna. Dragos oszacował, że z około 640 000 urządzeń z otwartym portem 502 w internecie około 46 000 może być podatnych. Drugi poziom ryzyka to urządzenia w sieciach wewnętrznych: jeśli napastnik wejdzie do sieci, stają się łatwym celem.
Jak chronić urządzenia Modbus i OT
Najważniejsza zasada jest jedna: urządzenia przemysłowe nie powinny być bezpośrednio dostępne z internetu. Poza tym warto wdrożyć kolejne warstwy ochrony, powiązane ze środkami zaradczymi z MITRE ATT&CK for ICS.
Czego uczy FrostyGoop
FrostyGoop pokazał, że atak na OT nie jest teorią. Prosty protokół bez uwierzytelniania, urządzenie wystawione do sieci i luka w routerze wystarczyły, żeby odciąć ogrzewanie setkom budynków.
Dla właściciela infrastruktury krytycznej wniosek jest praktyczny: bezpieczeństwo OT to nie dodatek do IT, tylko warunek ciągłości działania i bezpieczeństwa ludzi.
Chcesz sprawdzić, czy Twoje urządzenia przemysłowe są wystawione i podatne na taki atak? Umów bezpłatną konsultację. Zweryfikujemy powierzchnię ataku Twojego środowiska OT i wskażemy, co zabezpieczyć w pierwszej kolejności.
Umów bezpłatną konsultację, a sprawdzimy, czy Twoja infrastruktura przemysłowa jest podatna na atak taki jak FrostyGoop.