محققان امنیتی و مقامات اوکراینی به این نتیجه رسیده اند که به مدت دو روز در اواسط ژانویه، برخی از اوکراینی ها در شهر لویو مجبور شدند به دلیل حمله سایبری به یک شرکت انرژی شهرداری، بدون گرمایش مرکزی زندگی کنند و از دمای انجماد رنج ببرند.

به گزارش پایروس نیوز، شرکت امنیت سایبری Dragos گزارشی با جزئیات درباره بدافزار جدیدی به نام FrostyGoop منتشر کرد که به گفته این شرکت برای هدف قرار دادن سیستم‌های کنترل صنعتی – در این مورد خاص، به‌ویژه بر علیه یک نوع کنترل‌کننده سیستم گرمایشی طراحی شده است.

محققان Dragos در گزارش خود نوشتند که برای اولین بار این بدافزار را در ماه آوریل شناسایی کردند. در آن زمان، Dragos  به غیر از نمونه بدافزار اطلاعات بیشتری در مورد FrostyGoop نداشت و معتقد بود که فقط برای آزمایش استفاده می شود. با این حال، بعداً، مقامات اوکراینی به دراگوس هشدار دادند که شواهدی پیدا کرده اند که نشان می دهد این بدافزار به طور فعال در یک حمله سایبری در Lviv در اواخر عصر ۲۲ ژانویه تا ۲۳ ژانویه مورد استفاده قرار گرفته است.

مارک “مگپی” گراهام، محقق در دراگوس، در طی تماسی با خبرنگارانی که در مورد گزارش قبل از انتشار گزارش شده بودند، گفت: “این منجر به از دست رفتن گرمایش بیش از ۶۰۰ ساختمان آپارتمان برای تقریباً ۴۸ ساعت شد.”

گراهام، کایل اومرا و کارولین آهلر، محققین دراگوس، در این گزارش نوشتند که “رفع این حادثه تقریباً دو روز طول کشید و در این مدت جمعیت غیرنظامی مجبور به تحمل دمای زیر صفر بودند”

این سومین قطعی شناخته شده مرتبط با حملات سایبری به اوکراینی ها در سال های اخیر است. در حالی که محققان گفتند بعید است که بدافزار باعث قطعی گسترده شود، اما نشان دهنده تلاش فزاینده هکرهای مخرب برای هدف قرار دادن زیرساخت های حیاتی مانند شبکه های انرژی است.

به گفته دراگوس، بدافزار FrostyGoop برای تعامل با دستگاه‌های کنترل صنعتی (ICS) از طریق Modbus طراحی شده است.

FrostyGoop نهمین بدافزار اختصاصی ICS است که طی سال‌ها با آن مواجه شده است. معروف ترین آنها Industroyer است که به عنوان CrashOverride شناخته می شود.

محققان در طول تحقیقات، متوجه شدند که هکرها احتمالاً در آوریل ۲۰۲۳ به شبکه هدف دسترسی پیدا کرده‌اند، تقریباً یک سال قبل از استقرار بدافزار و خاموش کردن گرما. بر اساس این گزارش، در ماه‌های بعد، هکرها همچنان به شبکه دسترسی پیدا کردند و در ۲۲ ژانویه ۲۰۲۴، از طریق آدرس‌های IP مستقر در مسکو به آن متصل شدند.

علیرغم آدرس‌های IP روسی، دراگوس انگشت خود را به سمت هیچ گروه یا دولت هکری مشخصی به عنوان مسئول این قطعی سایبری نشانه نرفت.