البرامج الضارة لـ Fuxnet ICS

قام باحثون في مجال أمن المعلومات مؤخرًا بتحليل برنامج Fuxnet، وهو شكل من أشكال البرامج الضارة التي تستهدف أنظمة التحكم الصناعية (ICS)، والتي نشرها قراصنة أوكرانيون في هجوم حديث على شركة روسية للبنية التحتية تحت الأرض.

وقد أكدت مجموعة القرصنة بلاك جاك، التي يُزعم أنها مرتبطة بجهاز الأمن الأوكراني، مسؤوليتها عن شن هجمات على العديد من الكيانات الروسية المهمة. وشملت أهدافهم مقدمي خدمات الإنترنت (ISPs)، والمرافق، ومراكز البيانات، وحتى الجيش الروسي، مما أدى إلى أضرار جسيمة واستخراج البيانات الحساسة.

علاوة على ذلك، كشف قراصنة لعبة البلاك جاك عن تفاصيل تتعلق بالضربة المزعومة ضد شركة Moscollector، وهي شركة مقرها موسكو تشرف على البنية التحتية تحت الأرض مثل أنظمة المياه والصرف الصحي والاتصالات.

يتم نشر برنامج Fuxnet الضار في عمليات الهجوم

وفقًا للقراصنة، أصبحت البنية التحتية لأجهزة الاستشعار والمراقبة الصناعية في روسيا غير صالحة للعمل. تتضمن هذه البنية التحتية مركز تشغيل الشبكة (NOC)، المسؤول عن الإشراف على الغاز والمياه وأجهزة إنذار الحريق والعديد من الأنظمة الأخرى، إلى جانب شبكة مترامية الأطراف من أجهزة الاستشعار عن بعد ووحدات تحكم إنترنت الأشياء. وأكد المتسللون أنهم قاموا بمسح قواعد البيانات وخوادم البريد الإلكتروني وأنظمة المراقبة الداخلية وخوادم تخزين البيانات.

علاوة على ذلك، زعموا أنهم قاموا بتعطيل 87 ألف جهاز استشعار، بما في ذلك تلك الحيوية للمطارات وأنظمة مترو الأنفاق وخطوط أنابيب الغاز. وزعموا أنهم حققوا ذلك باستخدام برنامج Fuxnet، وهو برنامج ضار تم تشبيهه بإصدار قوي من Stuxnet ، مما يسمح لهم بإتلاف أجهزة الاستشعار ماديًا.

ذكر المتسللون أن شركة Fuxnet بدأت فيضان RS485/MBus وكانت تصدر أوامر "عشوائية" إلى 87000 نظام تحكم وأنظمة استشعار مدمجة. وأكدوا أنهم استبعدوا عمدا المستشفيات والمطارات وغيرها من الأهداف المدنية من أعمالهم.

في حين أن إثبات ادعاءات المتسللين أمر صعب، فقد تمكن الباحثون من تحليل البرمجيات الخبيثة Fuxnet بناءً على المعلومات والتعليمات البرمجية المقدمة من مجموعة Blackjack.

يمكن أن تتسبب البرامج الضارة Fuxnet في حدوث اضطرابات خطيرة

يسلط خبراء الأمن السيبراني الضوء على أن أجهزة الاستشعار المادية التي تستخدمها Moscollector، والمسؤولة عن جمع البيانات مثل درجة الحرارة، من المحتمل أن تظل سالمة من قبل Foxnet. وبدلاً من ذلك، يُعتقد أن البرامج الضارة استهدفت ما يقرب من 500 بوابة استشعار، مما يسهل الاتصال مع أجهزة الاستشعار عبر ناقل تسلسلي مثل RS485/Meter-Bus، كما ذكر Blackjack. كما أن هذه البوابات متصلة بالإنترنت لنقل البيانات إلى نظام المراقبة العالمي الخاص بالشركة.

وفي حالة تعرض البوابات للخطر، فقد تكون الإصلاحات واسعة النطاق، نظرًا لانتشارها الجغرافي عبر موسكو وضواحيها. سيتطلب كل جهاز إما استبدالًا أو إعادة تحميل البرامج الثابتة الفردية.

يقترح تحليل Fuxnet نشر البرامج الضارة عن بعد. وبمجرد اختراقه، يبدأ في حذف الملفات والأدلة المهمة، ويعطل خدمات الوصول عن بعد لإحباط محاولات الاستعادة، ويمسح بيانات جدول التوجيه لإعاقة الاتصال من جهاز إلى جهاز. وبعد ذلك، يقوم Fuxnet بمسح نظام الملفات وإعادة كتابة ذاكرة الفلاش الخاصة بالجهاز.

عند إتلاف نظام الملفات ومنع الوصول إلى الجهاز، تحاول البرامج الضارة إتلاف شريحة ذاكرة NAND فعليًا ثم إعادة كتابة وحدة تخزين UBI لعرقلة إعادة التشغيل. بالإضافة إلى ذلك، تسعى إلى تعطيل أجهزة الاستشعار المرتبطة بالبوابة عن طريق إغراق القنوات التسلسلية ببيانات عشوائية، بهدف إرباك كل من الناقل التسلسلي وأجهزة الاستشعار.

يتوقع الباحثون أن برنامج Fuxnet الضار ربما أصاب بوابات الاستشعار

تضيف عملية البرامج الضارة بشكل متكرر بيانات عشوائية إلى قناة Meter-Bus. يؤدي هذا الإجراء إلى عرقلة إرسال واستقبال البيانات بين أجهزة الاستشعار وبوابة الاستشعار، مما يجعل الحصول على بيانات الاستشعار غير فعال. وبالتالي، على الرغم من ادعاء المهاجمين باختراق 87000 جهاز، يبدو من العملي أنهم نجحوا في إصابة بوابات الاستشعار. كان الفيضان اللاحق لقناة متر-حافلة، على غرار تشويش الشبكة، يهدف إلى تعطيل أجهزة الاستشعار المترابطة بشكل أكبر. ونتيجة لذلك، يبدو أن بوابات الاستشعار فقط هي التي أصبحت غير صالحة للعمل، مما ترك أجهزة الاستشعار النهائية غير متأثرة.