Un logiciel malveillant lié à la Russie a été utilisé lors d'une cyberattaque en janvier 2024 pour couper le chauffage de plus de 600 immeubles d'appartements à Lviv, en Ukraine, pendant deux jours alors que les températures étaient inférieures à zéro.

FrostyGoop, le malware Windows utilisé dans cette attaque, est conçu pour cibler les systèmes de contrôle industriel (ICS) utilisant les communications Modbus TCP, un protocole ICS standard dans tous les secteurs industriels.

Le malware a été découvert pour la première fois par la société de cybersécurité Dragos en avril 2024, dont les chercheurs pensaient initialement qu'il était encore en phase de test. Cependant, le Centre ukrainien de situation en matière de cybersécurité (CSSC) a partagé des détails selon lesquels le malware était utilisé dans des attaques et l'a lié à la panne de chauffage de janvier à Lviv.

« Dans la soirée du 22 janvier 2024, jusqu'au 23 janvier, des adversaires ont mené une attaque de perturbation contre une société municipale d'énergie de district à Lviv, en Ukraine », dit Dragos, d'après les informations partagées par le CSSC.

« Au moment de l'attaque, cette installation alimentait plus de 600 immeubles d'habitation de la région métropolitaine de Lviv, fournissant ainsi aux clients du chauffage central. Il a fallu près de deux jours pour remédier à l'incident, pendant lesquels la population civile a dû supporter des températures négatives. »

FrostyGoop est le neuvième malware ICS découvert dans la nature, dont beaucoup sont liés à des groupes de menaces et à des infrastructures d'attaque russes. Plus récemment, Mandiant a découvert CosmicEnergy, et ESET a repéré Industroyer2 utilisé par des pirates de Sandworm pour cibler un important fournisseur d'énergie ukrainien dans le cadre d'une attaque ratée.

Le réseau a été piraté près d'un an plus tôt

Une enquête sur la cyberattaque de janvier 2024 à Lviv a montré que les attaquants auraient pu pénétrer dans le réseau de la victime près d'un an plus tôt, le 17 avril 2023, en exploitant une vulnérabilité non identifiée dans un routeur Mikrotik exposé à Internet.

Trois jours plus tard, ils ont déployé un webshell qui leur a permis de maintenir l'accès et les a aidés à se connecter au réseau piraté en novembre et décembre pour voler les informations d'identification des utilisateurs de la ruche de registre Security Account Manager (SAM).

Le jour de l'attaque, les attaquants ont utilisé des connexions L2TP (Layer Two Tunneling Protocol) à partir d'adresses IP basées à Moscou pour accéder aux actifs du réseau de la société énergétique du district.

Étant donné que le réseau, y compris le routeur MikroTik compromis, les quatre serveurs de gestion et les contrôleurs du système de chauffage du district, n'était pas correctement segmenté, ils ont pu exploiter les routes réseau codées en dur et prendre le contrôle des contrôleurs du système de chauffage du district.

Après les avoir détournés, les attaquants ont rétrogradé le firmware vers des versions dépourvues de capacités de surveillance pour échapper à la détection.

« Étant donné l’omniprésence du protocole Modbus dans les environnements industriels, ce malware peut potentiellement provoquer des perturbations dans tous les secteurs industriels en interagissant avec les systèmes existants et modernes », a averti Dragos.

L'entreprise conseille aux organisations industrielles de mettre en œuvre les 5 contrôles critiques SANS pour une cybersécurité OT de classe mondiale, notamment « la réponse aux incidents ICS, l'architecture défendable, la visibilité et la surveillance du réseau ICS, l'accès à distance sécurisé et la gestion des vulnérabilités basée sur les risques ».