Malware Fuxnet ICS
Výzkumníci informační bezpečnosti nedávno analyzovali Fuxnet, formu malwaru zaměřeného na průmyslové řídicí systémy (ICS), který ukrajinští hackeři nasadili při nedávném útoku na ruskou společnost zabývající se podzemní infrastrukturou.
Hackerský kolektiv Blackjack, údajně napojený na ukrajinský bezpečnostní aparát, se přihlásil k odpovědnosti za zahájení útoků na několik kritických ruských subjektů. Mezi jejich cíle patřili poskytovatelé internetových služeb (ISP), veřejné služby, datová centra a dokonce i ruská armáda, což vedlo ke značným škodám a extrakci citlivých dat.
Hackeři Blackjack navíc prozradili podrobnosti týkající se údajného úderu proti Moscollector, moskevské společnosti, která dohlíží na podzemní infrastrukturu, jako je voda, kanalizace a komunikační systémy.
Obsah
Malware Fuxnet je nasazen v útočných operacích
Podle hackerů byla ruská průmyslová senzorová a monitorovací infrastruktura vyřazena z provozu. Tato infrastruktura zahrnuje Network Operation Center (NOC), zodpovědné za dohled nad plynem, vodou, požárními poplachy a různými dalšími systémy, spolu s rozlehlou sítí vzdálených senzorů a ovladačů internetu věcí. Hackeři tvrdili, že vymazali databáze, e-mailové servery, interní monitorovací systémy a servery pro ukládání dat.
Dále tvrdili, že deaktivovali 87 000 senzorů, včetně těch, které jsou životně důležité pro letiště, systémy metra a plynovody. Tvrdili, že toho dosáhli pomocí Fuxnetu, malwaru, který přirovnali k silné verzi Stuxnetu , který jim umožňuje fyzicky poškodit senzorové vybavení.
Hackeři uvedli, že Fuxnet zahájil záplavu RS485/MBus a vydával „náhodné“ příkazy 87 000 vestavěným řídicím a senzorickým systémům. Zdůraznili, že ze svých akcí záměrně vyloučili nemocnice, letiště a další civilní cíle.
Zatímco tvrzení hackerů je obtížné prokázat, výzkumníkům se podařilo analyzovat malware Fuxnet na základě informací a kódu poskytnutého skupinou Blackjack.
Malware Fuxnet by mohl způsobit vážné narušení
Odborníci na kybernetickou bezpečnost zdůrazňují, že fyzické senzory používané Moscollectorem, které jsou zodpovědné za shromažďování dat, jako je teplota, pravděpodobně zůstaly nepoškozeny Fuxnetem. Místo toho se předpokládá, že se malware zaměřoval na přibližně 500 senzorových bran, které usnadňují komunikaci se senzory přes sériovou sběrnici, jako je RS485/Meter-Bus, jak uvádí Blackjack. Tyto brány jsou také připojeny k internetu pro přenos dat do globálního monitorovacího systému společnosti.
Pokud by byly brány kompromitovány, opravy by mohly být rozsáhlé, vzhledem k jejich geografickému rozptýlení po Moskvě a jejích předměstích. Každé zařízení by vyžadovalo výměnu nebo individuální přeflashování firmwaru.
Analýza Fuxnetu navrhuje vzdálené nasazení malwaru. Jakmile je infiltrován, zahájí mazání důležitých souborů a adresářů, zakáže služby vzdáleného přístupu, aby zmařil pokusy o obnovu, a vymaže data směrovací tabulky, aby bránil komunikaci mezi zařízeními. Následně Fuxnet vymaže systém souborů a přepíše flash paměť zařízení.
Po poškození systému souborů a zablokování přístupu k zařízení se malware snaží fyzicky poškodit paměťový čip NAND a poté přepíše svazek UBI, aby zabránil restartování. Kromě toho se snaží narušit senzory připojené k bráně zaplavením sériových kanálů náhodnými daty s cílem zahltit sériovou sběrnici i senzory.
Výzkumníci spekulují, že malware Fuxnet mohl infikovat brány senzorů
Operace malwaru opakovaně přidává libovolná data do kanálu Meter-Bus. Tato akce brání přenosu a příjmu dat mezi senzory a bránou senzoru, čímž je získávání dat ze senzoru neúčinné. Navzdory tvrzení útočníků, že kompromitovali 87 000 zařízení, se tedy zdá praktičtější, že se jim podařilo infikovat brány senzorů. Jejich následné zahlcení kanálu Meter-Bus, podobné rozostření sítě, mělo za cíl dále narušit propojené senzorové zařízení. V důsledku toho se zdá, že pouze senzorové brány byly vyřazeny z provozu, takže koncové senzory zůstaly nedotčeny.
