Zwei Tage lang mussten einige Ukrainer in der Stadt Lviv Mitte Januar ohne Zentralheizung und bei eisigen Temperaturen auskommen, weil es einen Cyberangriff auf ein städtisches Energieunternehmen gab. Zu diesem Schluss kamen Sicherheitsforscher und ukrainische Behörden inzwischen.
Am Dienstag hat das Cybersicherheitsunternehmen Dragos veröffentlichte einen Bericht mit Details zu einer neuen Schadsoftware namens FrostyGoop, die laut Angaben des Unternehmens darauf ausgelegt ist, industrielle Steuerungssysteme anzugreifen – in diesem konkreten Fall speziell einen Typ von Heizungssteuerung.
Die Forscher von Dragos schrieben in ihrem Bericht, dass sie die Malware erstmals im April entdeckt hätten. Zu diesem Zeitpunkt verfügte Dragos außer der Malware-Probe über keine weiteren Informationen zu FrostyGoop und ging davon aus, dass sie nur zu Testzwecken verwendet wurde. Später warnten die ukrainischen Behörden Dragos jedoch, dass sie Beweise dafür gefunden hätten, dass die Malware in den späten Abendstunden des 22. Januar auf den 23. Januar aktiv bei einem Cyberangriff in Lviv eingesetzt worden sei.
„Und das führte dazu, dass in über 600 Wohnhäusern fast 48 Stunden lang die Heizung ausfiel“, sagte Magpie Graham, ein Forscher bei Dragos, während einer Telefonkonferenz mit Reportern, die vor der Veröffentlichung des Berichts über dessen Lage informiert wurden.
Die Dragos-Forscher Graham, Kyle O’Meara und Carolyn Ahlers schrieben in dem Bericht, dass „die Beseitigung der Schäden nach dem Vorfall fast zwei Tage dauerte, während derer die Zivilbevölkerung Temperaturen unter Null ertragen musste.“
Dies ist der dritte bekannte Stromausfall in der Ukraine in den letzten Jahren, der auf Cyberangriffe zurückzuführen ist. Die Forscher sagten zwar, dass es unwahrscheinlich sei, dass die Malware großflächige Stromausfälle verursacht, aber es zeige, dass böswillige Hacker verstärkt versuchen, kritische Infrastrukturen wie Energienetze anzugreifen.
Die FrostyGoop-Malware ist darauf ausgelegt, über Modbus mit industriellen Steuergeräten (ICS) zu interagieren. Dabei handelt es sich um ein Jahrzehnte altes Protokoll, das weltweit zur Steuerung von Geräten in industriellen Umgebungen verwendet wird. Laut Dragos könnte FrostyGoop also dazu verwendet werden, andere Unternehmen und Einrichtungen überall anzugreifen.
„Es gibt heute mindestens 46.000 dem Internet ausgesetzte ICS-Geräte, die Modbus zulassen“, sagte Graham gegenüber Reportern.
Dragos sagte, dass FrostyGoop die neunte ICS-spezifische Malware ist, die er im Laufe der Jahre entdeckt hat. Die bekannteste davon ist Industroyer (auch bekannt als CrashOverride), das von der berüchtigten, mit der russischen Regierung verbundenen Hackergruppe Sandworm verwendet wurde, um schalte das Licht in Kiew aus und später, um Umspannwerke in der Ukraine abzuschalten. Außer diesen Cyberangriffen auf die Ukraine hat Dragos auch Triton gesehen, das gegen eine saudische petrochemische Anlage und später gegen eine unbekannte zweite Anlage eingesetzt wurde; und die CosmicEnergy-Malware, die letztes Jahr von Mandiant entdeckt wurde.
Kontaktiere uns
Haben Sie weitere Informationen zu diesem Cyberangriff? Oder zu ähnlichen Angriffen auf ICS in der Ukraine und anderswo? Von einem privaten Gerät aus können Sie Lorenzo Franceschi-Bicchierai sicher über Signal unter +1 917 257 1382 oder über Telegram und Keybase @lorenzofb oder per E-Mail erreichen. Sie können Tech auch über SecureDrop kontaktieren.
Die Forscher von Dragos schrieben, dass sie davon ausgehen, dass die Hacker, die die Kontrolle über die FrostyGoop-Malware hatten, sich zunächst Zugang zum Netzwerk des angegriffenen städtischen Energieversorgers verschafften, indem sie eine Schwachstelle in einem dem Internet ausgesetzten Mikrotik-Router ausnutzten. Die Forscher sagten, der Router sei ebenso wie andere Server und Controller, darunter einer von der chinesischen Firma ENCO, nicht „ausreichend segmentiert“ gewesen.
Graham sagte in dem Telefonat, dass sie offene ENCO-Controller in Litauen, der Ukraine und Rumänien gefunden hätten, und unterstrich damit noch einmal, dass FrostyGoop dieses Mal zwar bei einem gezielten Angriff in Lviv eingesetzt wurde, die Hacker, die die Kontrolle hatten, die Malware aber auch anderswo einsetzen könnten.
ENCO und seine Mitarbeiter antworteten nicht sofort auf die Bitte von Tech um einen Kommentar.
„Die Angreifer haben nicht versucht, die Controller zu zerstören. Stattdessen haben sie dafür gesorgt, dass die Controller ungenaue Messwerte meldeten, was zu einem fehlerhaften Betrieb des Systems und einem Wärmeverlust für die Kunden führte“, schreiben die Forscher.
Während der Untersuchung kamen die Forscher zu dem Schluss, dass die Hacker „möglicherweise im April 2023 Zugang zum Zielnetzwerk erhielten“, also fast ein Jahr, bevor sie die Malware einsetzten und den Computer abschalteten. In den folgenden Monaten griffen die Hacker weiterhin auf das Netzwerk zu und stellten am 22. Januar 2024 über Moskauer IP-Adressen eine Verbindung dazu her, so der Bericht.
Trotz der russischen IP-Adressen machte Dragos für diesen Cyber-Ausfall keine bestimmte bekannte Hackergruppe oder Regierung verantwortlich, da das Unternehmen keine Verbindungen zu früheren Aktivitäten oder Tools finden konnte und weil es seit langem die Politik des Unternehmens verfolgt, Cyber-Angriffe nicht zuzuschreiben, sagte Graham.
Graham sagte jedoch, er und seine Kollegen seien davon überzeugt, dass diese Störaktion nicht durch den Abschuss von Raketen auf die Anlage, sondern über das Internet durchgeführt wurde. Dabei handelte es sich vermutlich um einen Versuch, die Moral der dort lebenden Ukrainer zu untergraben.
„Ich denke, es handelt sich hier in hohem Maße um eine psychologische Anstrengung, die durch Cyber-Mittel unterstützt wird, obwohl kinetische Mittel hier vielleicht nicht die beste Wahl waren“, sagte Graham.
Abschließend sagte Phil Tonking, Field Chief Technology Officer bei Dragos, dass man FrostyGoop zwar nicht unterschätzen, es aber auch nicht überbewerten dürfe.
„Es ist wichtig zu erkennen, dass dies zwar aktiv genutzt wird“, sagte er während des Pressegesprächs, „es ist aber auch sehr, sehr wichtig, dass wir nicht glauben, dass dies etwas ist, das das Stromnetz des Landes sofort zum Absturz bringen wird.“