بدافزار Fuxnet ICS
محققان امنیت اطلاعات اخیراً Fuxnet را تجزیه و تحلیل کردند، نوعی بدافزار که سیستمهای کنترل صنعتی (ICS) را هدف قرار میدهد، که هکرهای اوکراینی در حمله اخیر به یک شرکت زیرساختی زیرزمینی روسی به کار گرفتند.
گروه هکری Blackjack که ظاهراً با دستگاه امنیتی اوکراین مرتبط است، مسئولیت حمله به چندین نهاد مهم روسیه را بر عهده گرفته است. اهداف آنها شامل ارائه دهندگان خدمات اینترنتی (ISP)، خدمات شهری، مراکز داده و حتی ارتش روسیه بود که منجر به آسیب های قابل توجه و استخراج داده های حساس شد.
علاوه بر این، هکرهای Blackjack جزئیاتی را در مورد حمله ادعایی علیه Moscollector، یک شرکت مستقر در مسکو که بر زیرساختهای زیرزمینی مانند آب، فاضلاب و سیستمهای ارتباطی نظارت میکند، فاش کردهاند.
فهرست مطالب
بدافزار Fuxnet در عملیات حمله مستقر شده است
به گفته هکرها، زیرساختهای نظارتی و حسگر صنعتی روسیه از کار افتاده است. این زیرساخت شامل مرکز عملیات شبکه (NOC) است که مسئول نظارت بر آلارمهای گاز، آب، آتشسوزی و سیستمهای مختلف دیگر، در کنار شبکه گستردهای از حسگرهای راه دور و کنترلکنندههای اینترنت اشیا است. هکرها ادعا کردند که پایگاه های داده، سرورهای ایمیل، سیستم های نظارت داخلی و سرورهای ذخیره سازی داده ها را از بین برده اند.
علاوه بر این، آنها ادعا کردند که 87000 حسگر، از جمله حسگرهای حیاتی برای فرودگاه ها، سیستم های مترو و خطوط لوله گاز را غیرفعال کرده اند. آنها ادعا کردند که با استفاده از Fuxnet، بدافزاری که آنها را به نسخه قدرتمند استاکس نت تشبیه کرده اند، به این هدف دست یافته اند و به آنها امکان آسیب فیزیکی به تجهیزات حسگر را می دهد.
هکرها اظهار داشتند که Fuxnet سیل RS485/MBus را راه اندازی کرده و دستورات تصادفی را به 87000 سیستم کنترل و حسی تعبیه شده صادر کرده است. آنها تاکید کردند که به عمد بیمارستان ها، فرودگاه ها و سایر اهداف غیرنظامی را از اقدامات خود حذف کردند.
در حالی که اثبات ادعاهای هکرها چالش برانگیز است، محققان موفق شدند بدافزار Fuxnet را بر اساس اطلاعات و کد ارائه شده توسط گروه Blackjack تجزیه و تحلیل کنند.
بدافزار Fuxnet می تواند باعث اختلالات شدید شود
کارشناسان امنیت سایبری تاکید میکنند که حسگرهای فیزیکی استفاده شده توسط Moscollector که مسئول جمعآوری دادههایی مانند دما هستند، احتمالاً توسط Fuxnet آسیبنخورده باقی ماندهاند. در عوض، اعتقاد بر این است که بدافزار تقریباً 500 دروازه حسگر را هدف قرار داده است که ارتباط با سنسورها را از طریق یک گذرگاه سریال مانند RS485/Meter-Bus، همانطور که توسط Blackjack ذکر شده است، تسهیل می کند. این دروازه ها همچنین برای انتقال داده ها به سیستم نظارت جهانی این شرکت به اینترنت متصل هستند.
اگر دروازه ها به خطر بیفتند، با توجه به پراکندگی جغرافیایی آنها در مسکو و حومه آن، تعمیرات می تواند گسترده باشد. هر دستگاهی نیاز به تعویض یا باز کردن سیستم عامل جداگانه دارد.
تجزیه و تحلیل Fuxnet حاکی از استقرار بدافزار از راه دور است. پس از نفوذ، حذف فایلها و دایرکتوریهای مهم را آغاز میکند، خدمات دسترسی از راه دور را برای خنثی کردن تلاشهای بازیابی غیرفعال میکند، و دادههای جدول مسیریابی را برای جلوگیری از ارتباط دستگاه به دستگاه پاک میکند. پس از آن، Fuxnet فایل سیستم را پاک کرده و حافظه فلش دستگاه را بازنویسی می کند.
پس از خراب کردن سیستم فایل و جلوگیری از دسترسی دستگاه، بدافزار تلاش می کند تا به طور فیزیکی به تراشه حافظه NAND آسیب برساند و سپس حجم UBI را بازنویسی می کند تا مانع از راه اندازی مجدد شود. علاوه بر این، به دنبال ایجاد اختلال در حسگرهای مرتبط با دروازه با پر کردن کانالهای سریال با دادههای تصادفی است که هدف آن تحت تأثیر قرار دادن گذرگاه سریال و سنسورها است.
محققان حدس می زنند که بدافزار Fuxnet ممکن است دروازه های حسگر را آلوده کرده باشد
عملیات بدافزار به طور مکرر داده های دلخواه را به کانال Meter-Bus اضافه می کند. این عمل مانع از انتقال و دریافت داده ها بین سنسورها و دروازه حسگر می شود و کسب اطلاعات حسگر را بی اثر می کند. از این رو، با وجود ادعای مهاجمان مبنی بر به خطر انداختن 87000 دستگاه، به نظر عملی تر به نظر می رسد که آنها موفق شده اند دروازه های حسگر را آلوده کنند. سیل بعدی آن ها از کانال متر-باس، شبیه به گیج شدن شبکه، با هدف ایجاد اختلال بیشتر در تجهیزات حسگر متصل به هم بود. در نتیجه، به نظر میرسد که تنها دروازههای حسگر غیرقابل اجرا شدهاند و حسگرهای انتهایی را بیتأثیر میگذارند.