ウクライナで真冬に2日間暖房が停止したのはマルウェア「FrostyGoop」による攻撃だったことが判明
2024年1月22日から23日にかけてウクライナの市営エネルギー会社に対して行われたサイバー攻撃について、サイバーセキュリティ企業のDragosが「FrostyGoop」と呼ばれるマルウェアによるものだという調査結果を報告しました。
Intel Brief: Impact of FrostyGoop ICS Malware on Connected OT Systems | Dragos
Hackers shut down heating in Ukrainian city with malware, researchers say | TechCrunch
https://techcrunch.com/2024/07/23/hackers-shut-down-heating-in-ukrainian-city-with-malware-researchers-say/
FrostyGoop malware left 600 Ukrainian households without heat this winter
https://therecord.media/frostygoop-malware-ukraine-heat
ウクライナでは、各地域に発電所によるセントラルヒーティングの設備が導入されています。ポーランドとの国境に近い西部の都市・リヴィウでも、600世帯以上の家庭にセントラルヒーティングが導入されていましたが、2024年1月22日に発生した市営エネルギー会社「LvivTeploEnergo」へのサイバー攻撃によってセントラルヒーティングが停止。修復には約2日を要し、その間リヴィウの住民たちは氷点下の気温に耐えなければなりませんでした。
2024年4月にDragosは、公開されているマルウェアリポジトリから産業用制御システム(ICS)向けマルウェアである「FrostyGoop」を発見しました。Dragosによると、FrostyGoopは産業環境のデバイスを制御するために世界中で広く使用されている古いプロトコルのModbusを介して標的のICSを操作するとのこと。
Dragosは「攻撃者はセントラルヒーティングの変電所モジュールまたはボイラープラントのプロセスを制御するように設計されたENCO製のコントローラーに不正確な測定値を報告し、システムの誤作動を引き起こしました。この結果セントラルヒーティングが停止しました」と述べています。
DragosはFrostyGoopの侵入経路について「インターネット上で広まっているMikroTik製のルーターの脆弱(ぜいじゃく)性を悪用してLvivTeploEnergoのネットワークにアクセスした可能性があります」と指摘。また、「標的のネットワークにアクセスした可能性がある時期は2023年4月のことで、その後数カ月間にわたりハッカーはLvivTeploEnergoのネットワークにアクセスを続け、2024年1月22日にモスクワを拠点とするIPアドレスを使って攻撃に及びました」と語りました。
Dragosの研究チームは、LvivTeploEnergoで使用されているルーターが、他のサーバーやENCO製のコントローラーに適切にセグメント化されていなかったことも要因と指摘しています。さらに、Dragosの研究者であるマーク・グラハム氏は「産業環境でのModbusプロトコルの普及状況を考えると、FrostyGoopは、従来のシステムや最新のシステムと相互作用して、全ての産業セクターに混乱を引き起こす可能性があります」と警告しました。