FrostyGoopマルウェアにより、ウクライナの集合住宅600棟超が今年1月に暖房使えず
今年1月に発生したウクライナ西部のある電力会社への攻撃に使用されたと思われる新種のICSマルウェアを、研究者らが発見した。ICSへ直接作用でき、標的のハードウェアに物理的な影響を与えることのできるマルウェアの実例は少ないながらも、今回発見されたものはこれに該当するという。なおこの攻撃によって同国における600棟以上の集合住宅の住民が2日間、凍える寒さの中で暖房のない生活を送ることを余儀なくされていた。
産業サイバーセキュリティ企業Dragosは今年4月にこのマルウェア「FrostyGoop」を発見。最近公開したレポートの中で、同マルウェアはWindows向けにコンパイルされており、アンチウイルスのベンダーには検出されていなかったと述べた。このツールは、さまざまなデバイス(一般的には複数の産業オートメーションシステム)間でデータを送信するために広く使われるModbusプロトコルを標的にしているという。1月の攻撃でアクターは、被害地域の暖房の変電用モジュールやボイラープラントのプロセスを制御するよう設計されたENCOコントローラに不正なModbusコマンドを送信し、不正確な測定を行わせてシステムの誤動作を引き起こしていたとみられる。
DragosはFrostyGoopを特定の脅威アクターと関連づけていないが、攻撃者がインシデントを引き起こす前にロシアを拠点とするIPアドレスからエネルギーシステムのネットワークに接続していたと指摘している。