Lvivteploenergo nie odpowiedziało na prośbę WIRED o komentarz, podobnie jak SBU. Ukraińska agencja ds. cyberbezpieczeństwa Państwowe Służby Specjalnej Ochrony Łączności i Informacji odmówiła komentarza.
W swoim opisie ataku na zakład ciepłowniczy Dragos twierdzi, że złośliwe oprogramowanie FrostyGoop zostało wykorzystane do ataku na urządzenia sterujące ENCO – narzędzia do monitorowania przemysłowego obsługujące protokół Modbus sprzedawane przez litewską firmę Axis Industries – i do zmiany ich temperatur wyjściowych w celu wyłączenia przepływu gorącej wody . Dragos twierdzi, że hakerzy faktycznie uzyskali dostęp do sieci na kilka miesięcy przed atakiem, w kwietniu 2023 r., wykorzystując podatny na ataki router MikroTik jako punkt wejścia. Następnie skonfigurowali własne połączenie VPN z siecią, która ponownie połączyła się z adresami IP w Moskwie.
Dragos twierdzi, że pomimo powiązań z Rosją nie powiązał włamania do zakładu ciepłowniczego z żadną znaną grupą hakerów, którą śledzi. Dragos zauważył w szczególności, że nie powiązał włamania ze zwykłymi podejrzanymi, takimi jak Kamacite czy Electrum – wewnętrzne nazwy Dragos dla grup szerzej określanych zbiorczo jako Sandworm, osławiona jednostka rosyjskiego wywiadu wojskowego, GRU.
Dragos odkrył, że chociaż hakerzy wykorzystali włamanie do sieci przedsiębiorstwa ciepłowniczego, aby wysłać polecenia Modbus FrostyGoop, które wycelowały w urządzenia ENCO i sparaliżowały usługi przedsiębiorstwa, wydaje się, że złośliwe oprogramowanie znajdowało się na własnym komputerze hakerów, a nie w sieci ofiary . Oznacza to, że sam program antywirusowy zamiast monitorowania i segmentacji sieci w celu ochrony podatnych na ataki urządzeń Modbus prawdopodobnie nie uniemożliwi korzystania z tego narzędzia w przyszłości, ostrzega analityk Dragos Mark „Magpie” Graham. „Fakt, że może zdalnie wchodzić w interakcję z urządzeniami, oznacza, że niekoniecznie trzeba go wdrażać w środowisku docelowym” – mówi Graham. „Być może nigdy nie zobaczysz tego w środowisku, a jedynie jego skutki”.
Chociaż urządzenia ENCO we lwowskim zakładzie ciepłowniczym były atakowane z poziomu sieci, Dragos ostrzega również, że znaleziona wcześniejsza wersja FrostyGoop została skonfigurowana tak, aby atakować urządzenie ENCO, które zamiast tego było publicznie dostępne za pośrednictwem otwartego Internetu. Dragos twierdzi, że podczas własnych skanów znalazł co najmniej 40 takich urządzeń ENCO, które podobnie pozostawiono podatne na ataki w Internecie. Firma ostrzega, że w rzeczywistości mogą istnieć dziesiątki tysięcy innych urządzeń obsługujących protokół Modbus podłączonych do Internetu, które mogą potencjalnie stać się celem w ten sam sposób. „Uważamy, że FrostyGoop będzie w stanie wchodzić w interakcję z ogromną liczbą tych urządzeń i jesteśmy w trakcie prowadzenia badań, aby sprawdzić, które urządzenia rzeczywiście będą podatne na ataki” – mówi Graham.
Chociaż Dragos nie powiązał oficjalnie ataku we Lwowie z rządem rosyjskim, sam Graham nie waha się opisać ataku jako części wojny Rosji przeciwko temu krajowi – wojny, która od 2022 r. brutalnie zdziesiątkowała ukraińską infrastrukturę krytyczną bombami i a cyberataki rozpoczęły się znacznie wcześniej, bo od 2014 r. Twierdzi on, że cyfrowe atakowanie infrastruktury ciepłowniczej w środku ukraińskiej zimy może w rzeczywistości być oznaką, że rosnąca zdolność Ukraińców do zestrzeliwania rosyjskich rakiet zepchnęła Rosję z powrotem do sabotażu hakerskiego, zwłaszcza na zachodniej Ukrainie. „Cyber może być w rzeczywistości bardziej skuteczny lub prawdopodobnie odniesie sukces w przypadku tamtejszego miasta, podczas gdy broń kinetyczna może nadal być skuteczna na bliższych dystansach” – mówi Graham. „Próbują wykorzystać pełne spektrum, całą gamę dostępnych narzędzia w zbrojowni.”
Jednak nawet w miarę ewolucji tych narzędzi Graham opisuje cele hakerów w kategoriach, które niewiele zmieniły się w dziesięcioletniej historii terroryzowania sąsiada przez Rosję: wojny psychologicznej, której celem jest podważenie woli Ukrainy do oporu. „W ten sposób podważa się wolę ludu” – mówi Graham. „Nie miało to na celu zakłócania ogrzewania na całą zimę. Ale wystarczy, aby ludzie pomyśleli, czy to właściwe posunięcie? Czy nadal będziemy walczyć?”
