Fuxnet ICS pahavara
Infoturbe teadlased analüüsisid hiljuti Fuxneti, tööstusjuhtimissüsteemidele (ICS) suunatud pahavara vormi, mille Ukraina häkkerid kasutasid hiljutises rünnakus Venemaa maa-aluse taristuettevõtte vastu.
Häkkimiskollektiivi Blackjack, mis on väidetavalt seotud Ukraina julgeolekuaparaadiga, on võtnud endale vastutuse mitmete Venemaa kriitiliste üksuste vastu suunatud rünnakute korraldamise eest. Nende sihtmärkide hulka kuulusid Interneti-teenuse pakkujad (ISP), kommunaalettevõtted, andmekeskused ja isegi Venemaa sõjavägi, mille tulemuseks oli oluline kahju ja tundlike andmete väljavõtt.
Lisaks on Blackjacki häkkerid avaldanud üksikasju seoses väidetava streigiga Moscollectori vastu, Moskvas asuva ettevõtte vastu, mis jälgib maa-alust infrastruktuuri, nagu vesi, kanalisatsioon ja sidesüsteemid.
Sisukord
Fuxneti pahavara juurutatakse ründeoperatsioonides
Häkkerite sõnul on Venemaa tööstusandurite ja seireinfrastruktuur muudetud mittetoimivaks. See infrastruktuur hõlmab võrguoperatsioonikeskust (NOC), mis vastutab gaasi-, vee-, tulekahjusignalisatsiooni ja mitmesuguste muude süsteemide järelevalve eest, lisaks laialivalguvale kaugandurite ja asjade Interneti-kontrollerite võrgustikule. Häkkerid kinnitasid, et nad on kustutanud andmebaasid, meiliserverid, sisemised jälgimissüsteemid ja andmesalvestusserverid.
Lisaks väitsid nad, et nad on deaktiveerinud 87 000 andurit, sealhulgas need, mis on olulised lennujaamade, metroosüsteemide ja gaasijuhtmete jaoks. Nad väitsid, et saavutasid selle Fuxneti abil, pahavara, mida nad võrdlesid Stuxneti võimsa versiooniga, võimaldades neil anduriseadmeid füüsiliselt kahjustada.
Häkkerid väitsid, et Fuxnet oli algatanud RS485/MBus-i üleujutuse ja andis 87 000 manustatud juhtimis- ja sensoorsele süsteemile "juhuslikke" käske. Nad rõhutasid, et jätsid oma tegevusest teadlikult välja haiglad, lennujaamad ja muud tsiviilsihtmärgid.
Kuigi häkkerite väiteid on keeruline tõestada, õnnestus teadlastel analüüsida Fuxneti pahavara Blackjacki grupi esitatud teabe ja koodi põhjal.
Fuxneti pahavara võib põhjustada tõsiseid häireid
Küberturvalisuse eksperdid rõhutavad, et Moscollectori kasutatavad füüsilised andurid, mis vastutavad selliste andmete kogumise eest nagu temperatuur, jäid Fuxnetist tõenäoliselt puutumata. Selle asemel arvatakse, et pahavara on sihikule võtnud umbes 500 andurilüüsi, mis hõlbustavad anduritega suhtlemist jadasiini (nt RS485/Meter-Bus) kaudu, nagu Blackjack mainis. Need lüüsid on ka Interneti-ühendusega, et edastada andmeid ettevõtte globaalsesse seiresüsteemi.
Kui väravad peaksid ohtu sattuma, võib remont osutuda ulatuslikuks, arvestades nende geograafilist hajutatust Moskvas ja selle äärelinnas. Iga seade nõuab kas väljavahetamist või individuaalse püsivara värskendamist.
Fuxneti analüüs soovitab pahavara kaugjuurutamist. Pärast sissetungimist käivitab see oluliste failide ja kataloogide kustutamise, keelab kaugjuurdepääsuteenused, et takistada taastamiskatseid, ja pühib marsruutimistabeli andmed, et takistada seadmete vahelist suhtlust. Seejärel kustutab Fuxnet failisüsteemi ja kirjutab ümber seadme välkmälu.
Failisüsteemi rikkudes ja seadmele juurdepääsu piiramisel püüab pahavara NAND-mälukiipi füüsiliselt kahjustada ja kirjutab seejärel UBI-mahu ümber, et takistada taaskäivitamist. Lisaks püüab see häirida lüüsiga ühendatud andureid, ujutades üle jadakanalid juhuslike andmetega, eesmärgiga koormata nii jadasiini kui ka andureid.
Teadlased oletavad, et Fuxneti pahavara võib nakatada andurite lüüsi
Pahavara toiming lisab Meter-Bus kanalile korduvalt suvalisi andmeid. See toiming takistab andurite ja anduri lüüsi vahel andmete edastamist ja vastuvõtmist, muutes andurite andmete hankimise ebatõhusaks. Seega, vaatamata ründajate väitele 87 000 seadme ohustamise kohta, tundub praktilisem, et neil õnnestus andurite lüüsid nakatada. Nende järgnev Meter-Bus kanali üleujutus, mis sarnaneb võrgu hägustumisega, püüdis omavahel ühendatud anduriseadmeid veelgi häirida. Järelikult näib, et ainult andurite lüüsid muudeti töövõimetuks, jättes lõppandureid mõjutamata.
