Programari maliciós Fuxnet ICS
Investigadors de seguretat de la informació van analitzar recentment Fuxnet, una forma de programari maliciós dirigit als sistemes de control industrial (ICS), que els pirates informàtics ucraïnesos van desplegar en un recent assalt a una empresa d'infraestructura subterrània russa.
El col·lectiu de pirates informàtics Blackjack, suposadament vinculat a l'aparell de seguretat d'Ucraïna, ha reivindicat la responsabilitat de llançar atacs a diverses entitats russes crítiques. Els seus objectius incloïen proveïdors de serveis d'Internet (ISP), serveis públics, centres de dades i fins i tot l'exèrcit de Rússia, cosa que va provocar danys substancials i l'extracció de dades sensibles.
A més, els pirates informàtics de Blackjack han divulgat detalls sobre una suposada vaga contra Moscollector, una empresa amb seu a Moscou que supervisa infraestructures subterrànies com ara aigua, clavegueram i sistemes de comunicació.
Taula de continguts
El programari maliciós Fuxnet es desplega en operacions d'atac
Segons els pirates informàtics, la infraestructura de monitorització i sensor industrial de Rússia s'ha deixat inoperant. Aquesta infraestructura inclou el Centre d'operacions de xarxa (NOC), responsable de supervisar les alarmes de gas, aigua, incendis i diversos altres sistemes, juntament amb una xarxa extensa de sensors remots i controladors IoT. Els pirates informàtics van afirmar que havien esborrat bases de dades, servidors de correu electrònic, sistemes de control intern i servidors d'emmagatzematge de dades.
A més, van al·legar que havien desactivat 87.000 sensors, inclosos els vitals per als aeroports, els sistemes de metro i els gasoductes. Van afirmar que ho van aconseguir amb Fuxnet, un programari maliciós que van comparar amb una versió potent de Stuxnet , que els va permetre danyar físicament l'equip del sensor.
Els pirates informàtics van declarar que Fuxnet havia iniciat una inundació de RS485/MBus i estava emetent ordres "atzars" a 87.000 sistemes sensorials i de control integrats. Van destacar que van excloure deliberadament hospitals, aeroports i altres objectius civils de les seves accions.
Tot i que les afirmacions dels pirates informàtics són difícils de demostrar, els investigadors van aconseguir analitzar el programari maliciós Fuxnet a partir de la informació i el codi proporcionats pel grup de Blackjack.
El programari maliciós Fuxnet podria causar interrupcions greus
Els experts en ciberseguretat destaquen que els sensors físics utilitzats per Moscollector, que s'encarreguen de recopilar dades com la temperatura, probablement no van ser afectats per Fuxnet. En canvi, es creu que el programari maliciós s'ha dirigit a aproximadament 500 passarel·les de sensors, que faciliten la comunicació amb els sensors a través d'un bus sèrie com RS485/Meter-Bus, tal com va esmentar Blackjack. Aquestes passarel·les també estan connectades a Internet per transmetre dades al sistema de monitorització global de l'empresa.
Si les portes es veuen compromeses, les reparacions podrien ser extenses, donada la seva dispersió geogràfica per Moscou i els seus afores. Cada dispositiu requeriria un reemplaçament o una renovació de firmware individual.
L'anàlisi de Fuxnet suggereix el desplegament remot del programari maliciós. Un cop infiltrat, inicia l'eliminació de fitxers i directoris crucials, desactiva els serveis d'accés remot per frustrar els intents de restauració i esborra les dades de la taula d'encaminament per dificultar la comunicació entre dispositius. Posteriorment, Fuxnet esborra el sistema de fitxers i reescriu la memòria flash del dispositiu.
En corrompre el sistema de fitxers i impedir l'accés al dispositiu, el programari maliciós s'esforça per danyar físicament el xip de memòria NAND i després reescriu el volum UBI per impedir el reinici. A més, pretén interrompre els sensors vinculats a la passarel·la inundant els canals sèrie amb dades aleatòries, amb l'objectiu d'aclaparar tant el bus sèrie com els sensors.
Els investigadors especulen que el programari maliciós Fuxnet podria haver infectat les passarel·les de sensors
L'operació de programari maliciós afegeix repetidament dades arbitràries al canal Meter-Bus. Aquesta acció obstrueix la transmissió i recepció de dades entre els sensors i la passarel·la del sensor, fent que l'adquisició de dades del sensor sigui ineficaç. Per tant, malgrat l'afirmació dels atacants de comprometre 87.000 dispositius, sembla més pràctic que hagin aconseguit infectar les passarel·les del sensor. La seva posterior inundació del canal Meter-Bus, semblant a la difusió de la xarxa, tenia com a objectiu interrompre encara més l'equip sensor interconnectat. En conseqüència, sembla que només les passarel·les dels sensors es van deixar inoperables, deixant els sensors finals inalterats.
