ولم تستجب شركة لفيفتيبلوينرجو لطلب التعليق الذي تقدمت به مجلة WIRED، كما لم يستجب جهاز الأمن الأوكراني. ورفضت وكالة الأمن السيبراني الأوكرانية، وهي هيئة الدولة للاتصالات الخاصة وحماية المعلومات، التعليق.
في تحليله للهجوم على مرافق التدفئة، يقول Dragos إن برنامج FrostyGoop الخبيث استُخدم لاستهداف أجهزة التحكم ENCO – أدوات المراقبة الصناعية التي تدعم Modbus والتي تبيعها شركة Axis Industries الليتوانية – وتغيير مخرجات درجة حرارتها لإيقاف تدفق الماء الساخن. يقول Dragos إن المتسللين تمكنوا بالفعل من الوصول إلى الشبكة قبل أشهر من الهجوم، في أبريل 2023، من خلال استغلال جهاز توجيه MikroTik ضعيف كنقطة دخول. ثم قاموا بإعداد اتصال VPN خاص بهم بالشبكة، والذي تم توصيله مرة أخرى بعناوين IP في موسكو.
وعلى الرغم من هذا الارتباط بروسيا، تقول شركة Dragos إنها لم تربط اختراق مرافق التدفئة بأي مجموعة قرصنة معروفة تتعقبها. وأشارت Dragos على وجه الخصوص إلى أنها لم تربط الاختراق، على سبيل المثال، بالمشتبه بهم المعتادين مثل Kamacite أو Electrum، وهما الاسمان الداخليان لشركة Dragos لمجموعات يشار إليها على نطاق واسع باسم Sandworm، وهي وحدة سيئة السمعة تابعة لوكالة الاستخبارات العسكرية الروسية، GRU.
وقد وجد دراجوس أنه في حين استخدم المتسللون اختراقهم لشبكة شركة التدفئة لإرسال أوامر Modbus الخاصة بشركة FrostyGoop والتي استهدفت أجهزة ENCO وعطلت خدمة الشركة، يبدو أن البرامج الضارة كانت موجودة على جهاز الكمبيوتر الخاص بالمتسللين، وليس على شبكة الضحية. وهذا يعني أن مكافحة الفيروسات البسيطة وحدها، بدلاً من مراقبة الشبكة وتقسيمها لحماية أجهزة Modbus المعرضة للخطر، لن تمنع على الأرجح الاستخدام المستقبلي للأداة، كما يحذر المحلل مارك “ماجبي” جراهام من شركة دراجوس. ويقول جراهام: “حقيقة أنها يمكن أن تتفاعل مع الأجهزة عن بُعد تعني أنها لا تحتاج بالضرورة إلى نشرها في بيئة مستهدفة. وقد لا ترى هذه الأداة في البيئة أبدًا، بل آثارها فقط”.
وبينما تم استهداف أجهزة ENCO في مرافق التدفئة بمدينة لفيف من داخل الشبكة، حذرت شركة Dragos أيضًا من أن الإصدار السابق من FrostyGoop الذي وجدته تم تكوينه لاستهداف جهاز ENCO كان متاحًا للجمهور عبر الإنترنت المفتوح. وفي عمليات المسح الخاصة بها، تقول Dragos إنها وجدت ما لا يقل عن 40 جهاز ENCO تم تركها عرضة للخطر على الإنترنت. وتحذر الشركة من أنه قد يكون هناك في الواقع عشرات الآلاف من الأجهزة الأخرى التي تدعم Modbus والمتصلة بالإنترنت والتي يمكن استهدافها بنفس الطريقة. يقول جراهام: “نعتقد أن FrostyGoop سيكون قادرًا على التفاعل مع عدد كبير من هذه الأجهزة، ونحن في صدد إجراء بحث للتحقق من الأجهزة التي قد تكون عرضة للخطر بالفعل”.
في حين لم يربط دراغوس رسميًا بين هجوم لفيف والحكومة الروسية، فإن جراهام نفسه لا يتردد في وصف الهجوم كجزء من حرب روسيا ضد البلاد – وهي الحرب التي دمرت البنية التحتية الحيوية الأوكرانية بوحشية بالقنابل منذ عام 2022 والهجمات الإلكترونية التي بدأت في وقت أبكر بكثير، منذ عام 2014. يزعم أن الاستهداف الرقمي للبنية التحتية للتدفئة في خضم شتاء أوكرانيا قد يكون في الواقع علامة على أن قدرة الأوكرانيين المتزايدة على إسقاط الصواريخ الروسية دفعت روسيا إلى العودة إلى التخريب القائم على القرصنة، وخاصة في غرب أوكرانيا. يقول جراهام: “قد يكون الهجوم الإلكتروني أكثر كفاءة أو من المرجح أن يكون ناجحًا تجاه مدينة هناك، في حين أن الأسلحة الحركية ربما لا تزال ناجحة على مسافة أقرب. إنهم يحاولون استخدام الطيف الكامل، ومجموعة كاملة من الأدوات المتاحة في الترسانة”.
ولكن حتى مع تطور هذه الأدوات، يصف جراهام أهداف القراصنة بمصطلحات لم تتغير كثيراً في تاريخ روسيا الممتد لعقد من الزمان في إرهاب جارتها: الحرب النفسية التي تهدف إلى تقويض إرادة أوكرانيا في المقاومة. ويقول جراهام: “هذه هي الطريقة التي تضعف بها إرادة الشعب. لم يكن الهدف هو تعطيل التدفئة طوال فصل الشتاء. ولكن كان كافياً لجعل الناس يفكرون: هل هذه هي الخطوة الصحيحة؟ هل نستمر في القتال؟”.