بدافزار Fuxnet ICS

محققان امنیت اطلاعات اخیراً Fuxnet را تجزیه و تحلیل کردند، نوعی بدافزار که سیستم‌های کنترل صنعتی (ICS) را هدف قرار می‌دهد، که هکرهای اوکراینی در حمله اخیر به یک شرکت زیرساختی زیرزمینی روسی به کار گرفتند.

گروه هکری Blackjack که ظاهراً با دستگاه امنیتی اوکراین مرتبط است، مسئولیت حمله به چندین نهاد مهم روسیه را بر عهده گرفته است. اهداف آنها شامل ارائه دهندگان خدمات اینترنتی (ISP)، خدمات شهری، مراکز داده و حتی ارتش روسیه بود که منجر به آسیب های قابل توجه و استخراج داده های حساس شد.

علاوه بر این، هکرهای Blackjack جزئیاتی را در مورد حمله ادعایی علیه Moscollector، یک شرکت مستقر در مسکو که بر زیرساخت‌های زیرزمینی مانند آب، فاضلاب و سیستم‌های ارتباطی نظارت می‌کند، فاش کرده‌اند.

بدافزار Fuxnet در عملیات حمله مستقر شده است

به گفته هکرها، زیرساخت‌های نظارتی و حسگر صنعتی روسیه از کار افتاده است. این زیرساخت شامل مرکز عملیات شبکه (NOC) است که مسئول نظارت بر آلارم‌های گاز، آب، آتش‌سوزی و سیستم‌های مختلف دیگر، در کنار شبکه گسترده‌ای از حسگرهای راه دور و کنترل‌کننده‌های اینترنت اشیا است. هکرها ادعا کردند که پایگاه های داده، سرورهای ایمیل، سیستم های نظارت داخلی و سرورهای ذخیره سازی داده ها را از بین برده اند.

علاوه بر این، آنها ادعا کردند که 87000 حسگر، از جمله حسگرهای حیاتی برای فرودگاه ها، سیستم های مترو و خطوط لوله گاز را غیرفعال کرده اند. آنها ادعا کردند که با استفاده از Fuxnet، بدافزاری که آنها را به نسخه قدرتمند استاکس نت تشبیه کرده اند، به این هدف دست یافته اند و به آنها امکان آسیب فیزیکی به تجهیزات حسگر را می دهد.

هکرها اظهار داشتند که Fuxnet سیل RS485/MBus را راه اندازی کرده و دستورات تصادفی را به 87000 سیستم کنترل و حسی تعبیه شده صادر کرده است. آنها تاکید کردند که به عمد بیمارستان ها، فرودگاه ها و سایر اهداف غیرنظامی را از اقدامات خود حذف کردند.

در حالی که اثبات ادعاهای هکرها چالش برانگیز است، محققان موفق شدند بدافزار Fuxnet را بر اساس اطلاعات و کد ارائه شده توسط گروه Blackjack تجزیه و تحلیل کنند.

بدافزار Fuxnet می تواند باعث اختلالات شدید شود

کارشناسان امنیت سایبری تاکید می‌کنند که حسگرهای فیزیکی استفاده شده توسط Moscollector که مسئول جمع‌آوری داده‌هایی مانند دما هستند، احتمالاً توسط Fuxnet آسیب‌نخورده باقی مانده‌اند. در عوض، اعتقاد بر این است که بدافزار تقریباً 500 دروازه حسگر را هدف قرار داده است که ارتباط با سنسورها را از طریق یک گذرگاه سریال مانند RS485/Meter-Bus، همانطور که توسط Blackjack ذکر شده است، تسهیل می کند. این دروازه ها همچنین برای انتقال داده ها به سیستم نظارت جهانی این شرکت به اینترنت متصل هستند.

اگر دروازه ها به خطر بیفتند، با توجه به پراکندگی جغرافیایی آنها در مسکو و حومه آن، تعمیرات می تواند گسترده باشد. هر دستگاهی نیاز به تعویض یا باز کردن سیستم عامل جداگانه دارد.

تجزیه و تحلیل Fuxnet حاکی از استقرار بدافزار از راه دور است. پس از نفوذ، حذف فایل‌ها و دایرکتوری‌های مهم را آغاز می‌کند، خدمات دسترسی از راه دور را برای خنثی کردن تلاش‌های بازیابی غیرفعال می‌کند، و داده‌های جدول مسیریابی را برای جلوگیری از ارتباط دستگاه به دستگاه پاک می‌کند. پس از آن، Fuxnet فایل سیستم را پاک کرده و حافظه فلش دستگاه را بازنویسی می کند.

پس از خراب کردن سیستم فایل و جلوگیری از دسترسی دستگاه، بدافزار تلاش می کند تا به طور فیزیکی به تراشه حافظه NAND آسیب برساند و سپس حجم UBI را بازنویسی می کند تا مانع از راه اندازی مجدد شود. علاوه بر این، به دنبال ایجاد اختلال در حسگرهای مرتبط با دروازه با پر کردن کانال‌های سریال با داده‌های تصادفی است که هدف آن تحت تأثیر قرار دادن گذرگاه سریال و سنسورها است.

محققان حدس می زنند که بدافزار Fuxnet ممکن است دروازه های حسگر را آلوده کرده باشد

عملیات بدافزار به طور مکرر داده های دلخواه را به کانال Meter-Bus اضافه می کند. این عمل مانع از انتقال و دریافت داده ها بین سنسورها و دروازه حسگر می شود و کسب اطلاعات حسگر را بی اثر می کند. از این رو، با وجود ادعای مهاجمان مبنی بر به خطر انداختن 87000 دستگاه، به نظر عملی تر به نظر می رسد که آنها موفق شده اند دروازه های حسگر را آلوده کنند. سیل بعدی آن ها از کانال متر-باس، شبیه به گیج شدن شبکه، با هدف ایجاد اختلال بیشتر در تجهیزات حسگر متصل به هم بود. در نتیجه، به نظر می‌رسد که تنها دروازه‌های حسگر غیرقابل اجرا شده‌اند و حسگرهای انتهایی را بی‌تأثیر می‌گذارند.