FrostyGoop ha lasciato centinaia di ucraini al freddo: ecco come ha spento il riscaldamento di 600 condomini

Un malware di nuova concezione chiamato FrostyGoop, messo a punto dai russi, ha lasciato 600 condomini di Leopoli e centinaia di persone al freddo e senza acqua calda nel mese di gennaio. La guerra si combatte non solo con le armi convenzionali.
di Manolo De Agostini pubblicata il 23 Luglio 2024, alle 13:11 nel canale SicurezzaDue giorni a temperature sotto zero e senza acqua calda per colpa di un nuovo malware chiamato FrostyGoop. È quanto successo a metà gennaio di quest'anno a centinaia di ucraini nella città di Leopoli, improvvisamente ritrovatisi senza riscaldamento centralizzato. Ne parla Techcrunch.
Un malware che sembrerebbe di matrice russa ha colpito un'azienda energetica municipale impendendo che 600 condomini potessero ricevere il calore per passare le fredde giornate invernali. L'accaduto è raccontato in un report dalla società di cybersicurezza Dragos.
Dragos ha rilevato il malware per la prima volta in aprile, ma non disponendo di ulteriori informazioni in merito, pensava si trattasse solo di un test. Contattata dalle autorità ucraine, ha ben presto appurato che il malware era stato attivamente utilizzato in un attacco informatico a Leopoli nella tarda serata tra il 22 e il 23 gennaio.
FrostyGoop è un malware progettato per colpire i sistemi di controllo industriali - nel caso specifico un particolare tipo di controller del sistema di riscaldamento.
Il malware FrostyGoop interagisce con i dispositivi di controllo industriale (ICS) tramite Modbus, un protocollo vecchio di decenni ampiamente usato in tutto il mondo per controllare i dispositivi negli ambienti industriali, il che significa che FrostyGoop potrebbe essere sfruttato per colpire altre aziende e strutture ovunque. "Ci sono almeno 46.000 dispositivi ICS esposti a Internet che oggi consentono Modbus", ha dichiarato Dragos.
La società afferma che FrostyGoop è il nono malware specifico per gli ICS che ha incontrato nel corso degli anni. Il più famoso di questi è Industroyer (noto anche come CrashOverride), utilizzato dal famigerato gruppo di hacker legato al governo russo Sandworm per spegnere le luci di Kiev e scollegare le sottostazioni elettriche in Ucraina.
Le indagini portano a credere che gli hacker che controllano il malware FrostyGoop abbiano prima ottenuto l'accesso alla rete dell'azienda energetica municipale sfruttando una vulnerabilità in un router Mikrotik esposto a Internet. Secondo i ricercatori, il router non era "adeguatamente segmentato" insieme ad altri server e controller, tra cui uno prodotto da ENCO, un'azienda cinese.
Dragos afferma di aver trovato controller ENCO aperti in Lituania, Ucraina e Romania, rimarcando quindi la pericolosità di FrostyGoop anche per altre infrastrutture.
I malintenzionati "non hanno tentato di distruggere le centraline. Invece, hanno fatto in modo che i controller riportassero misurazioni imprecise, causando un funzionamento errato del sistema e la perdita di riscaldamento per i clienti", hanno spiegato i ricercatori, secondo cui gli hacker avrebbero ottenuto accesso alla rete già nell'aprile 2023, quasi un anno prima di distribuire il malware e spegnere il riscaldamento.
Nonostante le connessioni alla rete siano riconducibili a indirizzi IP russi, Dragos non ha puntato il dito contro alcun gruppo o governo. Phil Tonking, responsabile tecnologico di Dragos, ha affermato che è importante non sottovalutare FrostyGoop, ma anche non esagerare: "[…] è molto, molto importante che non si pensi che si tratti di qualcosa che possa far crollare immediatamente la rete elettrica nazionale".
3 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoaziende di servizi così esposte
Trovo incredibile che aziende che offrono servizi pubblici critici siano sempre così esposte ad attacchi informatici e abbiano standard di sicurezza così bassi.Allucinante.
Allucinante.
Guarda che questo non è niente di che... in Italia trovi standard di sicurezza anche più bassi.
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".