过去十年来,俄罗斯对乌克兰平民进行了各种形式的攻击试验,包括数字攻击和物理攻击,它还经常利用冬季作为武器之一--对电力设施发动网络攻击,引发十二月大停电,并无情地轰炸供暖基础设施。今年 1 月,俄罗斯黑客似乎又尝试了另一种让乌克兰人陷入寒冷的方法:一个恶意软件样本首次允许黑客直接侵入乌克兰的供暖设施,在寒冬中关闭了数百栋建筑物的供暖和热水。
工业网络安全公司 Dragos 周二披露了一个新发现的与俄罗斯有关联的恶意软件样本,该公司认为该恶意软件被用于 1 月底针对乌克兰利沃夫一家供热公司的网络攻击,导致 600 栋建筑的供热服务瘫痪约 48 小时。在这次攻击中,恶意软件篡改了温度读数,诱使控制系统冷却流经建筑物管道的热水,这是黑客直接破坏供热设施的首个经证实的案例。
Dragos关于该恶意软件的报告指出,袭击发生时,利沃夫正处于典型的一月冰冻期,接近该地区一年中最冷的时候,平民不得不忍受零下 [摄氏] 的温度"。德拉戈斯公司(Dragos)分析师凯尔-奥米拉(Kyle O'Meara)说得更直白:"有人在隆冬时节关掉你的暖气,这是一件糟糕的事情"。
该恶意软件被 Dragos 称为 FrostyGoop,是迄今为止在野外发现的不到 10 个代码样本之一,这些代码旨在与工业控制系统软件直接交互,从而产生物理效果。这也是迄今为止发现的第一个试图通过 Modbus 发送命令来实现这些效果的恶意软件,Modbus 是一种常用且相对不安全的协议,专门用于与工业技术进行通信。
Dragos 首次发现 FrostyGoop 恶意软件是在 4 月份,当时该恶意软件以多种形式被上传到一个在线恶意软件扫描服务--很可能是Google旗下的扫描服务和恶意软件库 VirusTotal,但 Dragos 拒绝确认是哪个服务--或许是恶意软件的创建者试图测试反病毒系统是否能检测到该恶意软件。Dragos 与乌克兰网络安全情况中心(隶属于该国 SBU 网络安全和情报机构)合作,随后了解到该恶意软件已被用于 1 月 22 日开始的针对乌克兰西部最大城市利沃夫一家供热公司的网络攻击。
德拉戈斯拒绝透露受害公用事业公司的名称,事实上,它还没有独立证实该公用事业公司的名称,因为它只是从乌克兰政府那里才得知攻击目标。然而,德拉戈斯对这次袭击的描述与利沃夫特普洛energo 公用事业公司在同一时间发生供暖中断的报道非常吻合,据当地媒体报道,这次供暖中断导致近 10 万人失去供暖和热水。
利沃夫市市长安德烈-萨多夫伊(Andriy Sadovyi)当时在信息服务 Telegram 上发帖称该事件为"故障",但又补充说,"怀疑公司工作系统受到外部干扰,目前正在核实这一信息"。1 月 23 日,Lvivteploenergo 公司发表声明,更明确地将此次故障描述为"黑客攻击的结果"。
Dragos 在对这起供热设施攻击事件的分析中指出,FrostyGoop 恶意软件被用来攻击 ENCO 控制设备(由立陶宛公司 Axis Industries 销售的支持 Modbus 的工业监控工具),并改变其温度输出以关闭热水流。Dragos 说,黑客实际上是在攻击发生前几个月,即 2023 年 4 月,利用一个易受攻击的 MikroTik 路由器作为切入点进入网络的。然后,他们建立了自己的 VPN 连接进入网络,并连接回莫斯科的 IP 地址。
尽管与俄罗斯有联系,但 Dragos 表示,它还没有将供热设施入侵事件与它追踪的任何已知黑客组织联系起来。Dragos 特别指出,例如,它还没有将黑客攻击与 Kamacite 或 Electrum(Dragos 自己的内部名称,更广泛地被统称为"沙虫")等常见嫌疑犯联系起来,"沙虫"是俄罗斯军事情报机构 GRU 的一个广为人知的专职黑客单位。
Dragos 发现,虽然黑客利用他们对供热公司网络的入侵发送了 FrostyGoop 的 Modbus 命令,以 ENCO 设备为目标并瘫痪了供热公司的服务,但恶意软件似乎是托管在黑客自己的计算机上,而不是受害者的网络上。Dragos 分析师马克-"喜鹊"-格雷厄姆(Mark"Magpie"Graham)警告说,这意味着仅靠简单的杀毒软件,而不是通过网络监控和分段来保护易受攻击的 Modbus 设备,很可能无法阻止未来对该工具的使用。格雷厄姆说:"事实上,它可以远程与设备交互,这意味着它不一定需要部署到目标环境中。可能永远不会在环境中看到它,只能看到它的效果。"
虽然利沃夫供热公司的 ENCO 设备是在网络内被攻击的,但 Dragos 还警告说,它发现的 FrostyGoop 早期版本被配置为攻击通过开放互联网公开访问的 ENCO 设备。Dragos 称,它在自己的扫描中至少发现了 40 台类似的 ENCO 设备,这些设备在网上也同样存在漏洞。该公司警告说,事实上可能还有数以万计的其他 Modbus 设备连接到互联网上,有可能以同样的方式成为攻击目标。格雷厄姆说:"我们认为,FrostyGoop 能够与大量此类设备进行交互,我们正在进行研究,以验证哪些设备确实存在漏洞。"
虽然德拉戈斯没有正式将利沃夫袭击事件与俄罗斯政府联系起来,但格雷厄姆本人毫不避讳地将这次袭击描述为俄罗斯对乌克兰战争的一部分--自2022年以来,这场战争一直在用炸弹残酷地摧毁乌克兰的关键基础设施,而网络攻击则从更早的2014年就开始了。他认为,在乌克兰的寒冬中以数字技术攻击供热基础设施,实际上可能是一个迹象,表明乌克兰人击落俄罗斯导弹的能力越来越强,这迫使俄罗斯重拾以黑客为基础的破坏活动,尤其是在乌克兰西部。"网络实际上可能更有效,或者说更有可能在那边的城市取得成功,而动能武器可能在更近的范围内仍能取得成功。他们正试图全面使用武器库中的各种可用工具。"
不过,即使这些工具在不断发展,格雷厄姆描述黑客目标的用词在俄罗斯长达十年的恐吓邻国的历史中却没有什么变化:旨在削弱乌克兰抵抗意志的心理战。格雷厄姆说:"这就是摧毁民众意志的方式。这并不是要中断整个冬天的供暖。但足以让人们思考,这样做对吗?我们还要继续抗争吗?"