Fuxnet ICS Malware
Informationssikkerhedsforskere har for nylig analyseret Fuxnet, en form for malware rettet mod Industrial Control Systems (ICS), som ukrainske hackere indsatte i et nyligt angreb på et russisk underjordisk infrastrukturfirma.
Hackerkollektivet Blackjack, der angiveligt er knyttet til Ukraines sikkerhedsapparat, har påtaget sig ansvaret for at lancere angreb på flere kritiske russiske enheder. Deres mål omfattede internetudbydere (ISP'er), forsyningsselskaber, datacentre og endda Ruslands militær, hvilket resulterede i betydelig skade og udtrækning af følsomme data.
Desuden har Blackjack-hackere afsløret detaljer vedrørende en påstået strejke mod Moscollector, et Moskva-baseret firma, der fører tilsyn med underjordisk infrastruktur såsom vand, kloakvand og kommunikationssystemer.
Indholdsfortegnelse
Fuxnet-malwaren er implementeret i angrebsoperationer
Ifølge hackerne er Ruslands industrielle sensor- og overvågningsinfrastruktur blevet gjort ude af drift. Denne infrastruktur inkluderer Network Operation Center (NOC), der er ansvarlig for at overvåge gas, vand, brandalarmer og forskellige andre systemer sammen med et vidtstrakt netværk af fjernsensorer og IoT-controllere. Hackerne hævdede, at de havde udslettet databaser, e-mail-servere, interne overvågningssystemer og datalagringsservere.
Desuden hævdede de at have deaktiveret 87.000 sensorer, inklusive dem, der er vigtige for lufthavne, metrosystemer og gasrørledninger. De hævdede at have opnået dette ved hjælp af Fuxnet, en malware, som de sammenlignede med en potent version af Stuxnet , der tillader dem at beskadige sensorudstyr fysisk.
Hackerne udtalte, at Fuxnet havde iværksat en oversvømmelse af RS485/MBus og udstedte 'tilfældige' kommandoer til 87.000 indlejrede kontrol- og sensorsystemer. De understregede, at de bevidst udelukkede hospitaler, lufthavne og andre civile mål fra deres handlinger.
Mens hackernes påstande er udfordrende at bevise, lykkedes det forskerne at analysere Fuxnet-malwaren baseret på information og kode leveret af Blackjack-gruppen.
Fuxnet-malwaren kan forårsage alvorlige forstyrrelser
Cybersikkerhedseksperter fremhæver, at de fysiske sensorer, som Moscollector bruger, og som er ansvarlige for at indsamle data som temperatur, sandsynligvis forblev uskadt af Fuxnet. I stedet menes malwaren at have målrettet omkring 500 sensor-gateways, som letter kommunikationen med sensorerne via en seriel bus som RS485/Meter-Bus, som nævnt af Blackjack. Disse gateways er også internetforbundne for at overføre data til virksomhedens globale overvågningssystem.
Skulle portene blive kompromitteret, kan reparationer vise sig at blive omfattende på grund af deres geografiske spredning over Moskva og dets udkanter. Hver enhed ville kræve enten en udskiftning eller individuel firmware-genopladning.
Analyse af Fuxnet tyder på fjernimplementering af malwaren. Når den er infiltreret, initierer den sletning af vigtige filer og mapper, deaktiverer fjernadgangstjenester for at forhindre gendannelsesforsøg og sletter routingtabeldata for at forhindre enhed-til-enhed-kommunikation. Efterfølgende sletter Fuxnet filsystemet og omskriver enhedens flashhukommelse.
Ved at korrumpere filsystemet og spærre enhedsadgang forsøger malwaren at beskadige NAND-hukommelseschippen fysisk og omskriver derefter UBI-volumen for at forhindre genstart. Derudover søger den at forstyrre sensorer knyttet til gatewayen ved at oversvømme serielle kanaler med tilfældige data, med det formål at overvælde både den serielle bus og sensorerne.
Forskere spekulerer i, at Fuxnet-malwaren kan have inficeret sensorgateways
Malware-operationen tilføjer gentagne gange vilkårlige data til Meter-Bus-kanalen. Denne handling hindrer transmission og modtagelse af data mellem sensorerne og sensorgatewayen, hvilket gør indsamlingen af sensordata ineffektiv. På trods af angribernes påstand om at kompromittere 87.000 enheder, ser det derfor mere praktisk ud, at det var lykkedes dem at inficere sensor-gateways. Deres efterfølgende oversvømmelse af Meter-Bus-kanalen, beslægtet med netværksfuzzing, havde til formål at forstyrre det sammenkoblede sensorudstyr yderligere. Som følge heraf ser det ud til, at kun sensorgateways blev gjort ubrugelige, hvilket efterlod endesensorerne upåvirkede.
