كيف خفضت البرامج الضارة المرتبطة بروسيا الحرارة إلى 600 مبنى أوكراني في فصل الشتاء العميق

لم تستجب شركة Lvivteploenergo لطلب WIRED للتعليق، ولا إدارة أمن الدولة أيضًا. ورفضت وكالة الأمن السيبراني الأوكرانية، الخدمات الحكومية للاتصالات الخاصة وحماية المعلومات، التعليق.

في تحليله لهجوم مرافق التدفئة، قال Dragos إن البرنامج الضار FrostyGoop تم استخدامه لاستهداف أجهزة التحكم ENCO – أدوات المراقبة الصناعية التي تدعم Modbus والتي تبيعها شركة Axis Industries الليتوانية – وتغيير مخرجات درجة حرارتها لإيقاف تدفق الماء الساخن . يقول دراغوس إن المتسللين تمكنوا بالفعل من الوصول إلى الشبكة قبل أشهر من الهجوم، في أبريل 2023، من خلال استغلال جهاز توجيه MikroTik الضعيف كنقطة دخول. ثم قاموا بإعداد اتصال VPN الخاص بهم في الشبكة، والذي تم ربطه مرة أخرى بعناوين IP في موسكو.

وعلى الرغم من هذا الاتصال بروسيا، تقول Dragos إنها لم تربط اختراق مرافق التدفئة بأي مجموعة قرصنة معروفة تتعقبها. وأشار دراجوس على وجه الخصوص إلى أنه، على سبيل المثال، لم يربط القرصنة بالمشتبه بهم المعتادين مثل Kamacite أو Electrum، وهي الأسماء الداخلية لـ Dragos للمجموعات التي يشار إليها بشكل جماعي على نطاق واسع باسم Sandworm، وهي وحدة سيئة السمعة تابعة لوكالة الاستخبارات العسكرية الروسية. GRU.

وجد Dragos أنه بينما استخدم المتسللون اختراقهم لشبكة مرافق التدفئة لإرسال أوامر Modbus الخاصة بـ FrostyGoop التي استهدفت أجهزة ENCO وعطلت خدمة المرافق، يبدو أن البرامج الضارة قد تمت استضافتها على جهاز الكمبيوتر الخاص بالمتسللين، وليس على شبكة الضحية. . وهذا يعني أن برنامج مكافحة الفيروسات البسيط وحده، بدلاً من مراقبة الشبكة وتقسيمها لحماية أجهزة Modbus الضعيفة، لن يمنع على الأرجح استخدام الأداة في المستقبل، كما يحذر محلل Dragos مارك “Magpie” Graham. يقول جراهام: “إن حقيقة قدرته على التفاعل مع الأجهزة عن بعد تعني أنه لا يحتاج بالضرورة إلى نشره في بيئة مستهدفة”. “من المحتمل ألا تراه أبدًا في البيئة، فقط آثاره.”

في حين تم استهداف أجهزة ENCO في مرافق التدفئة في Lviv من داخل الشبكة، يحذر Dragos أيضًا من أن الإصدار السابق من FrostyGoop الذي تم العثور عليه تم تكوينه لاستهداف جهاز ENCO الذي كان يمكن الوصول إليه بشكل عام عبر الإنترنت المفتوح بدلاً من ذلك. وفي عمليات الفحص الخاصة بها، تقول Dragos إنها عثرت على ما لا يقل عن 40 جهازًا من أجهزة ENCO التي تُركت بالمثل عرضة للخطر عبر الإنترنت. وتحذر الشركة من أنه قد يكون هناك في الواقع عشرات الآلاف من الأجهزة الأخرى التي تدعم Modbus والمتصلة بالإنترنت والتي من المحتمل أن يتم استهدافها بنفس الطريقة. يقول جراهام: “نعتقد أن FrostyGoop سيكون قادرًا على التفاعل مع عدد كبير من هذه الأجهزة، ونحن بصدد إجراء بحث للتحقق من الأجهزة التي ستكون معرضة للخطر بالفعل”.

في حين أن دراغوس لم يربط رسميًا هجوم لفيف بالحكومة الروسية، فإن جراهام نفسه لا يخجل من وصف الهجوم بأنه جزء من حرب روسيا ضد البلاد – وهي الحرب التي دمرت بوحشية البنية التحتية الحيوية الأوكرانية بالقنابل منذ عام 2022. مع بدء الهجمات الإلكترونية في وقت مبكر جدًا، منذ عام 2014. وهو يرى أن الاستهداف الرقمي للبنية التحتية للتدفئة في خضم فصل الشتاء في أوكرانيا قد يكون في الواقع علامة على أن قدرة الأوكرانيين المتزايدة على إسقاط الصواريخ الروسية قد دفعت روسيا إلى العودة إلى التخريب القائم على القرصنة، لا سيما في غرب أوكرانيا. يقول جراهام: “قد تكون الهجمات السيبرانية في الواقع أكثر كفاءة أو من المرجح أن تكون ناجحة تجاه مدينة هناك، في حين أن الأسلحة الحركية ربما لا تزال ناجحة على مسافة أقرب”. الأدوات الموجودة في مستودع الأسلحة.”

ولكن حتى مع تطور هذه الأدوات، يصف جراهام أهداف القراصنة بعبارات لم تتغير إلا قليلاً في تاريخ روسيا الممتد لعقد من الزمن في ترويع جارتها: الحرب النفسية التي تهدف إلى تقويض إرادة أوكرانيا في المقاومة. يقول جراهام: “هذه هي الطريقة التي تتجاهل بها إرادة الناس”. “لم يكن الهدف منه تعطيل التدفئة طوال فصل الشتاء. ولكن يكفي لجعل الناس يفكرون، هل هذه هي الخطوة الصحيحة؟ هل نواصل القتال؟”