Fuxnet ICS Malware
Os pesquisadores de segurança da informação analisaram recentemente o Fuxnet, uma forma de malware que visa os Sistemas de Controle Industrial (ICS), que os hackers ucranianos implantaram em um ataque recente a uma empresa russa de infraestrutura subterrânea.
O coletivo de hackers Blackjack, supostamente ligado ao aparato de segurança da Ucrânia, assumiu a responsabilidade pelo lançamento de ataques a várias entidades russas críticas. Os seus alvos incluíam fornecedores de serviços de Internet (ISP), serviços públicos, centros de dados e até militares da Rússia, resultando em danos substanciais e na extracção de dados sensíveis.
Além disso, os hackers do Blackjack divulgaram detalhes sobre um suposto ataque contra a Moscollector, uma empresa com sede em Moscou que supervisiona infraestruturas subterrâneas, como água, esgoto e sistemas de comunicação.
Índice
O Fuxnet Malware é Implantado em Operações de Ataque
De acordo com os hackers, os sensores industriais e a infraestrutura de monitoramento da Rússia ficaram inoperantes. Esta infraestrutura inclui o Centro de Operações de Rede (NOC), responsável pela supervisão de gás, água, alarmes de incêndio e vários outros sistemas, juntamente com uma extensa rede de sensores remotos e controladores IoT. Os hackers afirmaram ter eliminado bancos de dados, servidores de e-mail, sistemas de monitoramento interno e servidores de armazenamento de dados.
Além disso, alegaram ter desativado 87 mil sensores, incluindo aqueles vitais para aeroportos, sistemas de metrô e gasodutos. Eles alegaram ter conseguido isso usando o Fuxnet, um malware que eles compararam a uma versão potente do Stuxnet, que lhes permitiu danificar fisicamente o equipamento sensor.
Os hackers afirmaram que o Fuxnet iniciou uma inundação de RS485/MBus e estava emitindo comandos “aleatórios” para 87.000 sistemas de controle e sensoriais embarcados. Enfatizaram que excluíram deliberadamente hospitais, aeroportos e outros alvos civis das suas ações.
Embora seja difícil provar as alegações dos hackers, os pesquisadores conseguiram analisar o malware Fuxnet com base em informações e códigos fornecidos pelo grupo Blackjack.
O Fuxnet Malware pode Causar Graves Interrupções
Os especialistas em segurança cibernética destacam que os sensores físicos utilizados pelo Moscollector, responsáveis pela coleta de dados como temperatura, provavelmente permaneceram ilesos pelo Fuxnet. Em vez disso, acredita-se que o malware tenha como alvo aproximadamente 500 gateways de sensores, que facilitam a comunicação com os sensores através de um barramento serial como RS485/Meter-Bus, conforme mencionado por Blackjack. Esses gateways também estão conectados à Internet para transmitir dados ao sistema de monitoramento global da empresa.
Caso as portas de acesso sejam comprometidas, as reparações poderão revelar-se extensas, dada a sua dispersão geográfica por Moscovo e arredores. Cada dispositivo exigiria uma substituição ou atualização individual do firmware.
A análise do Fuxnet sugere implantação remota do malware. Uma vez infiltrado, ele inicia a exclusão de arquivos e diretórios cruciais, desativa os serviços de acesso remoto para impedir tentativas de restauração e limpa os dados da tabela de roteamento para dificultar a comunicação entre dispositivos. Posteriormente, o Fuxnet apaga o sistema de arquivos e reescreve a memória flash do dispositivo.
Ao corromper o sistema de arquivos e impedir o acesso ao dispositivo, o malware tenta danificar fisicamente o chip de memória NAND e, em seguida, reescreve o volume UBI para impedir a reinicialização. Além disso, busca interromper os sensores vinculados ao gateway inundando os canais seriais com dados aleatórios, visando sobrecarregar tanto o barramento serial quanto os sensores.
Os Pesquisadores Acham que o Fuxnet Malware pode Ter Infectado os Portais de Entrada dosde Sensores
A operação do malware adiciona repetidamente dados arbitrários ao canal Meter-Bus. Esta ação obstrui a transmissão e recepção de dados entre os sensores e o gateway do sensor, tornando a aquisição de dados do sensor ineficaz. Assim, apesar da alegação dos atacantes de terem comprometido 87.000 dispositivos, parece mais prático que tenham conseguido infectar os gateways dos sensores. A subsequente inundação do canal Meter-Bus, semelhante à difusão da rede, teve como objetivo perturbar ainda mais o equipamento sensor interconectado. Consequentemente, parece que apenas os gateways dos sensores ficaram inoperantes, deixando os sensores finais inalterados.
