Κακόβουλο λογισμικό Fuxnet ICS
Ερευνητές ασφάλειας πληροφοριών ανέλυσαν πρόσφατα το Fuxnet, μια μορφή κακόβουλου λογισμικού που στοχεύει τα Industrial Control Systems (ICS), τα οποία οι Ουκρανοί χάκερ ανέπτυξαν σε μια πρόσφατη επίθεση σε μια ρωσική εταιρεία υπόγειων υποδομών.
Η συλλογική hacking Blackjack, η οποία υποτίθεται ότι συνδέεται με τη συσκευή ασφαλείας της Ουκρανίας, έχει αναλάβει την ευθύνη για την εξαπολύηση επιθέσεων σε αρκετές κρίσιμες ρωσικές οντότητες. Οι στόχοι τους περιελάμβαναν παρόχους υπηρεσιών Διαδικτύου (ISP), επιχειρήσεις κοινής ωφέλειας, κέντρα δεδομένων, ακόμη και τον στρατό της Ρωσίας, με αποτέλεσμα σημαντικές ζημιές και την εξαγωγή ευαίσθητων δεδομένων.
Επιπλέον, χάκερ Blackjack έχουν αποκαλύψει λεπτομέρειες σχετικά με ένα φερόμενο χτύπημα κατά της Moscollector, μιας εταιρείας με έδρα τη Μόσχα που επιβλέπει υπόγειες υποδομές όπως συστήματα ύδρευσης, αποχέτευσης και επικοινωνίας.
Πίνακας περιεχομένων
Το κακόβουλο λογισμικό Fuxnet αναπτύσσεται σε Επιθέσεις
Σύμφωνα με τους χάκερ, ο βιομηχανικός αισθητήρας και η υποδομή παρακολούθησης της Ρωσίας δεν λειτουργούν. Αυτή η υποδομή περιλαμβάνει το Κέντρο Λειτουργίας Δικτύου (NOC), υπεύθυνο για την επίβλεψη συναγερμών αερίου, νερού, πυρκαγιάς και διάφορα άλλα συστήματα, μαζί με ένα εκτεταμένο δίκτυο απομακρυσμένων αισθητήρων και ελεγκτών IoT. Οι χάκερ υποστήριξαν ότι είχαν εξαλείψει βάσεις δεδομένων, διακομιστές email, εσωτερικά συστήματα παρακολούθησης και διακομιστές αποθήκευσης δεδομένων.
Επιπλέον, ισχυρίστηκαν ότι απενεργοποίησαν 87.000 αισθητήρες, συμπεριλαμβανομένων εκείνων που είναι ζωτικής σημασίας για αεροδρόμια, συστήματα μετρό και αγωγούς αερίου. Ισχυρίστηκαν ότι το πέτυχαν αυτό χρησιμοποιώντας το Fuxnet, ένα κακόβουλο λογισμικό που παρομοίασαν με μια ισχυρή έκδοση του Stuxnet , επιτρέποντάς τους να βλάψουν σωματικά τον εξοπλισμό αισθητήρων.
Οι χάκερ δήλωσαν ότι η Fuxnet είχε ξεκινήσει μια πλημμύρα RS485/MBus και εξέδιδε «τυχαίες» εντολές σε 87.000 ενσωματωμένα συστήματα ελέγχου και αισθητηρίων. Τόνισαν ότι σκόπιμα απέκλεισαν από τις ενέργειές τους νοσοκομεία, αεροδρόμια και άλλους πολιτικούς στόχους.
Ενώ οι ισχυρισμοί των χάκερ είναι δύσκολο να αποδειχθούν, οι ερευνητές κατάφεραν να αναλύσουν το κακόβουλο λογισμικό Fuxnet με βάση πληροφορίες και κώδικα που παρέχονται από την ομάδα Blackjack.
Το κακόβουλο λογισμικό Fuxnet θα μπορούσε να προκαλέσει σοβαρές διακοπές
Οι ειδικοί στον τομέα της κυβερνοασφάλειας τονίζουν ότι οι φυσικοί αισθητήρες που χρησιμοποιούνται από το Moscollector, οι οποίοι είναι υπεύθυνοι για τη συλλογή δεδομένων όπως η θερμοκρασία, πιθανότατα παρέμειναν αλώβητοι από το Fuxnet. Αντίθετα, το κακόβουλο λογισμικό πιστεύεται ότι έχει στοχεύσει περίπου 500 πύλες αισθητήρων, οι οποίες διευκολύνουν την επικοινωνία με τους αισθητήρες μέσω ενός σειριακού διαύλου όπως το RS485/Meter-Bus, όπως αναφέρεται από το Blackjack. Αυτές οι πύλες είναι επίσης συνδεδεμένες στο Διαδίκτυο για τη μετάδοση δεδομένων στο παγκόσμιο σύστημα παρακολούθησης της εταιρείας.
Σε περίπτωση παραβίασης των πυλών, οι επισκευές θα μπορούσαν να αποδειχθούν εκτεταμένες, δεδομένης της γεωγραφικής τους διασποράς σε όλη τη Μόσχα και τα περίχωρά της. Κάθε συσκευή θα απαιτούσε είτε αντικατάσταση είτε μεμονωμένο υλικολογισμικό ανανέωσης.
Η ανάλυση του Fuxnet προτείνει απομακρυσμένη ανάπτυξη του κακόβουλου λογισμικού. Μόλις διεισδύσει, ξεκινά τη διαγραφή κρίσιμων αρχείων και καταλόγων, απενεργοποιεί τις υπηρεσίες απομακρυσμένης πρόσβασης για να αποτρέψει τις προσπάθειες επαναφοράς και σκουπίζει τα δεδομένα του πίνακα δρομολόγησης για να εμποδίσει την επικοινωνία συσκευής-συσκευής. Στη συνέχεια, το Fuxnet διαγράφει το σύστημα αρχείων και ξαναγράφει τη μνήμη flash της συσκευής.
Μετά την καταστροφή του συστήματος αρχείων και την απαγόρευση πρόσβασης στη συσκευή, το κακόβουλο λογισμικό προσπαθεί να βλάψει φυσικά το τσιπ μνήμης NAND και στη συνέχεια ξαναγράφει τον τόμο UBI για να εμποδίσει την επανεκκίνηση. Επιπλέον, επιδιώκει να διαταράξει τους αισθητήρες που συνδέονται με την πύλη πλημμυρίζοντας τα σειριακά κανάλια με τυχαία δεδομένα, με στόχο να κατακλύσει τόσο τον σειριακό δίαυλο όσο και τους αισθητήρες.
Οι ερευνητές εικάζουν ότι το κακόβουλο λογισμικό Fuxnet μπορεί να έχει προσβάλει τις πύλες αισθητήρων
Η λειτουργία κακόβουλου λογισμικού προσθέτει επανειλημμένα αυθαίρετα δεδομένα στο κανάλι Meter-Bus. Αυτή η ενέργεια εμποδίζει τη μετάδοση και τη λήψη δεδομένων μεταξύ των αισθητήρων και της πύλης του αισθητήρα, καθιστώντας αναποτελεσματική την απόκτηση δεδομένων αισθητήρα. Ως εκ τούτου, παρά τον ισχυρισμό των επιτιθέμενων ότι παραβίασαν 87.000 συσκευές, φαίνεται πιο πρακτικό ότι κατάφεραν να μολύνουν τις πύλες των αισθητήρων. Η επακόλουθη πλημμύρα του καναλιού Meter-Bus, παρόμοια με ασάφεια δικτύου, είχε ως στόχο να διαταράξει περαιτέρω τον διασυνδεδεμένο εξοπλισμό αισθητήρων. Κατά συνέπεια, φαίνεται ότι μόνο οι πύλες των αισθητήρων κατέστησαν ανενεργές, αφήνοντας τους τελικούς αισθητήρες ανεπηρέαστους.
