En janvier dernier, une cyberattaque liée à la Russie a utilisé le malware FrostyGoop pour couper le chauffage de 600 immeubles à Lviv, rappelant les vulnérabilités industrielles critiques.
En janvier dernier, une cyberattaque a frappé la ville de Lviv, en Ukraine, plongeant plus de 600 immeubles résidentiels dans le froid en plein hiver. Ce sabotage est attribué à un groupe de hackers liés à la Russie, utilisant un malware sophistiqué nommé FrostyGoop. Cette attaque, révélée par la société de cybersécurité Dragos, met en lumière les risques croissants pour les systèmes de contrôle industriel (ICS) face à des menaces cybernétiques.
Le déroulement de la cyberattaque
La cyberattaque a été menée en exploitant une vulnérabilité dans un routeur exposé sur Internet, permettant aux attaquants d’accéder au réseau industriel de Lviv. Ils ont ensuite installé un outil d’accès à distance, éliminant la nécessité d’installer le malware localement, ce qui a aidé à éviter la détection. Le malware, écrit en langage Golang, ciblait spécifiquement le protocole Modbus, couramment utilisé dans les environnements industriels pour la communication entre les appareils.
Le fonctionnement du malware
FrostyGoop a forcé les contrôleurs industriels à reporter des mesures inexactes, causant ainsi l’arrêt du chauffage sans alerter immédiatement les systèmes de surveillance. Les hackers ont dégradé les firmwares des contrôleurs à une version dépourvue de capacités de surveillance, rendant la détection plus difficile. L’objectif principal semblait être de semer le chaos et de démontrer la vulnérabilité des infrastructures critiques ukrainiennes.
La société spécialisée Dragos souligne que FrostyGoop est le neuvième malware connu à cibler les contrôleurs industriels, et le premier à s’attaquer spécifiquement au protocole Modbus. La découverte de ce malware par les autorités ukrainiennes en avril, plusieurs mois après l’attaque, souligne la nécessité d’une surveillance continue et améliorée des réseaux industriels. Dragos recommande par ailleurs l’adoption des 5 contrôles critiques SANS pour une cybersécurité OT de classe mondiale, afin de détecter et de neutraliser de telles menaces avant qu’elles ne causent des dommages.
Des implications plus larges
Cette attaque s’inscrit dans un contexte de tension continue entre la Russie et l’Ukraine, où les cyberattaques sont devenues une arme de choix pour déstabiliser l’infrastructure critique de l’adversaire. En ciblant les systèmes de chauffage en plein hiver, les hackers ont cherché non seulement à infliger des dommages matériels, mais aussi à exercer une pression psychologique sur la population civile.
L’utilisation de cyberattaques pour compenser des limitations dans les attaques physiques confirme à nouveau l’évolution de la guerre moderne vers le cyberespace.
Pour en savoir plus
Russia-linked hackers cut heat to 600 Ukrainian apartment buildings in the dead of winter, researchers say
Cybersecurity company Dragos has flagged malware that can attack industrial control systems (ICS), tricking them into malicious behavior like turning off the heat and hot…
Hackers shut down heating in Ukrainian city with malware, researchers say
Cybersecurity firm Dragos and Ukrainian authorities found a cyberattack targeting critical infrastructure in Lviv. © 2024 TechCrunch. All rights reserved. For personal use only.
How Russian Malware Cut Heat To 600 Heat To Ukrainian Buildings In Deep Winter
The code was used to sabotage a heating utility in Lviv at the coldest point in the year.