Fuxnet ICS -haittaohjelma
Tietoturvatutkijat analysoivat äskettäin Fuxnet-haittaohjelmia, jotka kohdistuvat Industrial Control Systems (ICS) -järjestelmään, jonka ukrainalaiset hakkerit käyttivät äskettäisessä hyökkäyksessä venäläistä maanalaista infrastruktuuriyritystä vastaan.
Hakkerointikollektiivi Blackjack, jonka väitetään liittyvän Ukrainan turvallisuuslaitteistoon, on ilmoittanut olevansa vastuussa useiden kriittisten venäläisten yksiköiden hyökkäyksistä. Heidän kohteinaan olivat Internet-palveluntarjoajat (ISP), laitokset, datakeskukset ja jopa Venäjän armeija, mikä johti huomattaviin vahinkoihin ja arkaluonteisten tietojen poimimiseen.
Lisäksi Blackjack-hakkerit ovat paljastaneet yksityiskohtia väitetystä lakosta Moscollectoria vastaan, Moscollectoria, joka on Moscollector, joka valvoo maanalaista infrastruktuuria, kuten vesi-, viemäri- ja viestintäjärjestelmiä.
Sisällysluettelo
Fuxnet-haittaohjelma on otettu käyttöön hyökkäysoperaatioissa
Hakkereiden mukaan Venäjän teollisuuden anturi- ja valvontainfrastruktuuri on poistettu käytöstä. Tämä infrastruktuuri sisältää Network Operation Centerin (NOC), joka vastaa kaasu-, vesi-, palohälytysten ja useiden muiden järjestelmien valvonnasta, sekä laajan etäanturien ja IoT-ohjaimien verkoston. Hakkerit väittivät pyyhkineensä pois tietokannat, sähköpostipalvelimet, sisäiset valvontajärjestelmät ja tiedontallennuspalvelimet.
Lisäksi he väittivät poistaneensa käytöstä 87 000 anturia, mukaan lukien ne, jotka ovat tärkeitä lentokentille, metrojärjestelmille ja kaasuputkille. He väittivät saavuttaneensa tämän käyttämällä Fuxnet-haittaohjelmaa, jota he vertasivat voimakkaaseen Stuxnet -versioon, minkä ansiosta he voivat vahingoittaa anturilaitteita fyysisesti.
Hakkerit ilmoittivat, että Fuxnet oli käynnistänyt RS485/MBus-tulvan ja antoi "satunnaisia" komentoja 87 000 sulautetulle ohjaus- ja sensorijärjestelmälle. He korostivat, että he tarkoituksella jättivät sairaalat, lentokentät ja muut siviilikohteet toimiensa ulkopuolelle.
Vaikka hakkereiden väitteet ovat haastavia todistaa, tutkijat onnistuivat analysoimaan Fuxnet-haittaohjelman Blackjack-ryhmän toimittamien tietojen ja koodin perusteella.
Fuxnet-haittaohjelma voi aiheuttaa vakavia häiriöitä
Kyberturvallisuusasiantuntijat korostavat, että Moscollectorin käyttämät fyysiset anturit, jotka vastaavat tietojen, kuten lämpötilan, keräämisestä, jäivät todennäköisesti Fuxnetilta vahingoittumattomiksi. Sen sijaan haittaohjelman uskotaan kohdistaneen noin 500 anturiyhdyskäytävään, mikä helpottaa kommunikointia antureiden kanssa sarjaväylän, kuten RS485/Meter-Busin, kautta, kuten Blackjack mainitsee. Nämä yhdyskäytävät ovat myös yhteydessä Internetiin tietojen siirtämiseksi yrityksen globaaliin valvontajärjestelmään.
Jos portit vaarantuvat, korjaukset voivat osoittautua laajoiksi, kun otetaan huomioon niiden maantieteellinen jakautuminen Moskovan ja sen esikaupunkien alueelle. Jokainen laite vaatisi joko vaihdon tai yksittäisen laiteohjelmiston päivittämisen.
Fuxnetin analyysi ehdottaa haittaohjelman etäkäyttöä. Kun se on tunkeutunut, se aloittaa tärkeiden tiedostojen ja hakemistojen poistamisen, poistaa etäkäyttöpalvelut käytöstä estääkseen palautusyritykset ja pyyhkii reititystaulukon tiedot estääkseen laitteiden välisen yhteyden. Tämän jälkeen Fuxnet tyhjentää tiedostojärjestelmän ja kirjoittaa uudelleen laitteen flash-muistin.
Kun haittaohjelma vahingoittaa tiedostojärjestelmää ja estää laitteen pääsyn, se yrittää fyysisesti vahingoittaa NAND-muistisirua ja kirjoittaa sitten UBI-taltion uudelleen estääkseen uudelleenkäynnistyksen. Lisäksi se pyrkii häiritsemään yhdyskäytävään liitettyjä antureita täyttämällä sarjakanavat satunnaisella tiedolla, mikä pyrkii kuormittamaan sekä sarjaväylän että anturit.
Tutkijat spekuloivat, että Fuxnet-haittaohjelma on saattanut saastuttaa anturiyhdyskäytäviä
Haittaohjelmatoiminto lisää toistuvasti mielivaltaisia tietoja Meter-Bus-kanavalle. Tämä toiminto estää tiedon siirron ja vastaanoton anturien ja anturiyhdyskäytävän välillä, mikä tekee anturidatan keräämisestä tehotonta. Tästä syystä, vaikka hyökkääjät väittivät vaarantaneensa 87 000 laitetta, näyttää käytännölliseltä, että he olivat onnistuneet saastuttamaan anturiyhdyskäytävät. Heidän myöhempi Meter-Bus-kanavan tulviminen, joka muistuttaa verkon hämärtymistä, pyrki häiritsemään toisiinsa yhdistettyjä anturilaitteita edelleen. Näin ollen näyttää siltä, että vain anturiyhdyskäytävät tehtiin käyttökelvottomiksi, jolloin pääteanturit eivät vaikuttaneet.
