Зловмисне програмне забезпечення ICS Fuxnet, яке використовується Україною для порушення російської інфраструктури

Останні звіти свідчать про те, що українські хакери, ймовірно пов’язані з групою, відомою як Blackjack і нібито пов’язані зі службами безпеки України, здійснили кібератаки на критично важливу російську інфраструктуру. Один із відомих інцидентів пов’язаний з нападом на московську компанію «Москолектор», яка наглядає за життєво важливими підземними системами, такими як водопостачання та комунікаційні мережі. Зловмисники, які стверджували, що використовували складну форму шкідливого програмного забезпечення під назвою Fuxnet , стверджували, що вони успішно вивели з ладу російські промислові датчики та інфраструктуру моніторингу, вплинувши на послуги від газу до пожежної сигналізації.

Однак ретельний аналіз, проведений фірмою з кібербезпеки Claroty, показує більш делікатну картину. У той час як Blackjack хвалився тим, що пошкодив 87 000 датчиків і спричинив повсюдний хаос, аналіз Claroty показує більш цілеспрямований підхід. Fuxnet, описаний як « Stuxnet на стероїдах», схоже, зосередився на приблизно 500 сенсорних шлюзах, а не безпосередньому пошкодженні самих датчиків. Ці шлюзи служать посередниками між датчиками та широкою мережею, забезпечуючи передачу даних до центральної системи моніторингу Moscollector.

Висновки Клароті проливають світло на складну механіку атаки. Fuxnet, розгорнутий віддалено, ініціює серію руйнівних дій після проникнення. Він систематично стирає важливі файли, вимикає служби віддаленого доступу та порушує шляхи зв’язку. Крім того, зловмисне програмне забезпечення намагається фізично знищити мікросхеми пам’яті та заповнити послідовні канали випадковими даними, прагнучи перевантажити як шлюзи, так і підключені датчики.

Незважаючи на заяви Blackjack про масштабне спустошення, схоже, що їхній вплив був більш локальним. Націлюючись головним чином на шлюзи датчиків і затоплюючи послідовні канали, зловмисники прагнули створити збій, а не відверте знищення. Отже, хоча ремонт може виявитися складним через географічне поширення пошкоджених пристроїв, цілісність фактичних датчиків залишається в основному недоторканою.

Інцидент підкреслює зміну ландшафту кібервійни, де складне шкідливе програмне забезпечення може спричинити значні збої, не обов’язково завдаючи незворотної шкоди. Оскільки країни борються зі зростаючою загрозою кібератак на критичну інфраструктуру, потреба в надійних заходах кібербезпеки та міжнародному співробітництві стає все більш необхідною.