Fuxnet ICS злонамерен софтуер
Изследователите на информационната сигурност наскоро анализираха Fuxnet, форма на злонамерен софтуер, насочен към системите за индустриален контрол (ICS), който украинските хакери внедриха при скорошно нападение срещу руска фирма за подземна инфраструктура.
Хакерският колектив Blackjack, за който се твърди, че е свързан с украинския апарат за сигурност, пое отговорност за започването на атаки срещу няколко критични руски организации. Техните цели включваха доставчици на интернет услуги (ISP), комунални услуги, центрове за данни и дори руска армия, което доведе до значителни щети и извличане на чувствителни данни.
Освен това, хакерите на Blackjack разкриха подробности относно предполагаем удар срещу Moscollector, базирана в Москва компания, която контролира подземната инфраструктура като водоснабдяване, канализация и комуникационни системи.
Съдържание
Зловреден софтуер Fuxnet се внедрява в операции за атака
Според хакерите руските промишлени сензори и инфраструктура за наблюдение са били изведени от строя. Тази инфраструктура включва Мрежовия оперативен център (NOC), отговорен за надзора на газ, вода, пожароизвестителни аларми и различни други системи, заедно с разтегната мрежа от дистанционни сензори и IoT контролери. Хакерите твърдят, че са унищожили бази данни, имейл сървъри, системи за вътрешно наблюдение и сървъри за съхранение на данни.
Освен това те твърдят, че са деактивирали 87 000 сензора, включително тези от жизненоважно значение за летищата, системите на метрото и газопроводите. Те твърдят, че са постигнали това с помощта на Fuxnet, злонамерен софтуер, който оприличиха на мощна версия на Stuxnet , което им позволява да повредят сензорното оборудване физически.
Хакерите заявиха, че Fuxnet е инициирал наводнение от RS485/MBus и е издавал „случайни“ команди към 87 000 вградени контролни и сензорни системи. Те подчертаха, че умишлено са изключили от действията си болници, летища и други цивилни цели.
Докато твърденията на хакерите са трудни за доказване, изследователите успяха да анализират зловредния софтуер Fuxnet въз основа на информация и код, предоставени от групата Blackjack.
Зловреден софтуер Fuxnet може да причини сериозни смущения
Експертите по киберсигурност подчертават, че физическите сензори, използвани от Moscollector, които са отговорни за събирането на данни като температура, вероятно са останали невредими от Fuxnet. Вместо това се смята, че злонамереният софтуер е насочен към приблизително 500 сензорни шлюза, които улесняват комуникацията със сензорите чрез серийна шина като RS485/Meter-Bus, както се споменава от Blackjack. Тези портали също са свързани с интернет, за да предават данни към глобалната система за наблюдение на компанията.
Ако шлюзовете бъдат компрометирани, ремонтът може да се окаже мащабен, като се има предвид тяхното географско разпръскване в Москва и нейните покрайнини. Всяко устройство ще изисква или подмяна, или индивидуално препрограмиране на фърмуера.
Анализът на Fuxnet предполага отдалечено внедряване на зловреден софтуер. Веднъж проникнал, той инициира изтриването на важни файлове и директории, деактивира услугите за отдалечен достъп, за да осуети опитите за възстановяване, и изтрива данните от таблицата за маршрутизиране, за да попречи на комуникацията между устройства. Впоследствие Fuxnet изтрива файловата система и презаписва флаш паметта на устройството.
При повреда на файловата система и блокиране на достъпа на устройството, зловредният софтуер се опитва да повреди физически NAND чипа с памет и след това пренаписва UBI тома, за да попречи на рестартирането. Освен това, той се стреми да наруши сензорите, свързани с шлюза, като наводни серийните канали с произволни данни, с цел да претовари както серийната шина, така и сензорите.
Изследователите спекулират, че злонамереният софтуер на Fuxnet може да е заразил сензорни шлюзове
Операцията на злонамерен софтуер многократно добавя произволни данни към канала Meter-Bus. Това действие възпрепятства предаването и приемането на данни между сензорите и шлюза на сензора, което прави получаването на данни от сензора неефективно. Следователно, въпреки твърдението на нападателите за компрометиране на 87 000 устройства, изглежда по-практично те да са успели да заразят сензорните шлюзове. Тяхното последващо наводняване на Meter-Bus канала, подобно на размиване на мрежата, имаше за цел да наруши допълнително свързаното сензорно оборудване. Следователно изглежда, че само сензорните шлюзове са били направени неработещи, оставяйки крайните сензори незасегнати.
