Bagaimana Malware yang Terhubung dengan Rusia Memotong Pemanas di 600 Bangunan Ukraina di Musim Dingin yang Parah

Lvivteploenergo tidak merespon permintaan komentar dari WIRED, begitu juga SBU. Badan keamanan Siber Ukraina, Layanan Negara untuk Komunikasi Khusus dan Perlindungan Informasi, menolak untuk memberikan komentar.

Dalam pemecahan serangan utilitas pemanas, Dragos mengatakan bahwa malware FrostyGoop digunakan untuk menargetkan perangkat kontrol ENCO – alat pemantauan industri yang menggunakan Modbus yang dijual oleh perusahaan Lithunia Axis Industries – dan mengubah output suhu mereka untuk mematikan aliran air panas. Dragos mengatakan bahwa para peretas sebenarnya telah mendapatkan akses ke jaringan tersebut beberapa bulan sebelum serangan, pada April 2023, dengan mengeksploitasi router MikroTik yang rentan sebagai titik masuk. Mereka kemudian menyiapkan koneksi VPN mereka sendiri ke dalam jaringan, yang terhubung kembali ke alamat IP di Moscow.

Meskipun koneksi Rusia tersebut, Dragos mengatakan bahwa mereka belum mengaitkan intrusi utilitas pemanas dengan kelompok peretas yang mereka lacak. Dragos mencatat khususnya bahwa mereka belum, misalnya, mengaitkan peretasan dengan tersangka biasa seperti Kamacite atau Electrum, nama internal Dragos untuk kelompok yang lebih umum disebut secara kolektif sebagai Sandworm, sebuah unit yang terkenal dari badan intelijen militer Rusia, GRU.

Dragos menemukan bahwa, sementara para peretas menggunakan pelanggaran jaringan utilitas pemanas mereka untuk mengirim perintah Modbus FrostyGoop yang menargetkan perangkat ENCO dan melumpuhkan layanan utilitas tersebut, malware tersebut tampaknya dihosting di komputer para peretas, bukan di jaringan korban. Itu berarti antivirus sederhana saja, bukan pemantauan jaringan dan segmentasi untuk melindungi perangkat Modbus yang rentan, kemungkinan tidak akan mencegah penggunaan alat tersebut di masa depan, peringatkan analis Dragos Mark “Magpie” Graham. “Fakta bahwa itu dapat berinteraksi dengan perangkat secara remote berarti tidak perlu diterapkan ke lingkungan target,” kata Graham. “Anda mungkin tidak pernah melihatnya di lingkungan, hanya efeknya.”

MEMBACA  Gunakan keuntungan dari aset Rusia yang dibekukan untuk membekali Ukraina, kata Ursula von der Leyen

Meskipun perangkat ENCO di utilitas pemanas Lviv ditargetkan dari dalam jaringan, Dragos juga memperingatkan bahwa versi sebelumnya dari FrostyGoop yang ditemukan dikonfigurasi untuk menargetkan perangkat ENCO yang sebaliknya dapat diakses secara publik melalui internet terbuka. Dalam pemindaian mereka sendiri, Dragos mengatakan bahwa mereka menemukan setidaknya 40 perangkat ENCO yang secara serupa dibiarkan rentan secara online. Perusahaan itu memperingatkan bahwa sebenarnya mungkin ada puluhan ribu perangkat yang menggunakan Modbus yang terhubung ke internet yang potensial dapat ditargetkan dengan cara yang sama. “Kami pikir FrostyGoop akan dapat berinteraksi dengan sejumlah besar perangkat ini, dan kami sedang melakukan penelitian untuk memverifikasi perangkat mana yang sebenarnya rentan,” kata Graham.

Meskipun Dragos belum secara resmi mengaitkan serangan Lviv dengan pemerintah Rusia, Graham sendiri tidak ragu untuk menjelaskan serangan tersebut sebagai bagian dari perang Rusia terhadap negara tersebut – perang yang telah menghancurkan infrastruktur kritis Ukraina dengan bom sejak 2022 dan dengan serangan siber yang dimulai jauh sebelumnya, sejak 2014. Dia berpendapat bahwa penargetan digital pada infrastruktur pemanas di tengah musim dingin Ukraina mungkin sebenarnya merupakan tanda bahwa kemampuan Ukraina untuk menembak jatuh rudal Rusia telah mendorong Rusia kembali ke sabotase berbasis hacking, khususnya di Ukraina barat. “Siber mungkin lebih efisien atau mungkin berhasil terhadap kota di sana, sementara senjata kinetik mungkin masih berhasil pada jarak yang lebih dekat,” kata Graham. “Mereka mencoba menggunakan seluruh spektrum, seluruh ketersediaan alat di gudang senjata.”

Meskipun alat-alat tersebut berkembang, Graham menggambarkan tujuan para peretas dalam istilah yang sedikit berubah dalam sejarah sepuluh tahun Rusia yang telah menakuti tetangganya: perang psikologis yang bertujuan untuk merusak kehendak Ukraina untuk melawan. “Ini adalah cara Anda meruntuhkan kehendak rakyat,” kata Graham. “Ini tidak ditujukan untuk mengganggu pemanas sepanjang musim dingin. Tapi cukup membuat orang berpikir, apakah ini langkah yang tepat? Apakah kita akan terus berjuang?”

MEMBACA  Spotify Mulai Mengenakan Biaya pada Pendengar Non-Premium untuk Lirik