תוכנות זדוניות של Fuxnet ICS
חוקרי אבטחת מידע ניתחו לאחרונה את Fuxnet, סוג של תוכנה זדונית המכוונת למערכות בקרה תעשייתיות (ICS), שהאקרים אוקראינים פרסו בהתקפה לאחרונה על חברת תשתית תת-קרקעית רוסית.
קולקטיב הפריצה בלאק ג'ק, המקושר לכאורה למנגנון האבטחה של אוקראינה, נטל אחריות על שיגור תקיפות על מספר ישויות רוסיות קריטיות. היעדים שלהם כללו ספקי שירותי אינטרנט (ISP), שירותים, מרכזי נתונים ואפילו צבא רוסיה, מה שגרם לנזק משמעותי ולחילוץ נתונים רגישים.
יתרה מכך, האקרים של בלאק ג'ק חשפו פרטים לגבי שביתה לכאורה נגד Moscollector, חברה ממוסקווה המפקחת על תשתיות תת קרקעיות כמו מים, ביוב ומערכות תקשורת.
תוכן העניינים
התוכנה הזדונית של Fuxnet נפרסת בפעולות התקפה
לפי ההאקרים, החיישן והתשתית התעשייתית של רוסיה לא פעלו. תשתית זו כוללת את מרכז תפעול הרשת (NOC), האחראי על פיקוח על גז, מים, אזעקות אש ומערכות שונות אחרות, לצד רשת נרחבת של חיישנים מרוחקים ובקרי IoT. ההאקרים טענו שהם מחקו מסדי נתונים, שרתי דואר אלקטרוני, מערכות ניטור פנימיות ושרתי אחסון נתונים.
יתרה מכך, הם טענו כי נטרלו 87,000 חיישנים, כולל אלו החיוניים לשדות תעופה, מערכות רכבת תחתית וצינורות גז. הם טענו שהשיגו זאת באמצעות Fuxnet, תוכנה זדונית שהם השוו לגרסה חזקה של Stuxnet , המאפשרת להם לפגוע בציוד חיישנים פיזית.
ההאקרים הצהירו ש-Fuxnet יזמה הצפה של RS485/MBus והוציאה פקודות 'אקראיות' ל-87,000 מערכות בקרה וחושים משובצות. הם הדגישו שהם הדירו בכוונה בתי חולים, שדות תעופה ומטרות אזרחיות אחרות ממעשיהם.
בעוד שהטענות של ההאקרים מאתגרות להוכיח, החוקרים הצליחו לנתח את התוכנה הזדונית של Fuxnet בהתבסס על מידע וקוד שסופקו על ידי קבוצת בלאק ג'ק.
התוכנה הזדונית של Fuxnet עלולה לגרום לשיבושים חמורים
מומחי אבטחת סייבר מדגישים שהחיישנים הפיזיים שבהם השתמש Moscollector, שאחראים לאיסוף נתונים כמו טמפרטורה, כנראה נשארו ללא פגע על ידי Fuxnet. במקום זאת, ההערכה היא שהתוכנה הזדונית פנתה לכ-500 שערים של חיישנים, המאפשרים תקשורת עם החיישנים באמצעות אפיק טורי כמו RS485/Meter-Bus, כפי שהוזכר על ידי בלאק ג'ק. שערים אלו מחוברים גם לאינטרנט כדי להעביר נתונים למערכת הניטור העולמית של החברה.
אם השערים ייפגעו, התיקונים עשויים להיות נרחבים, לאור הפיזור הגיאוגרפי שלהם על פני מוסקבה ובפאתיה. כל מכשיר ידרוש החלפה או חידוש קושחה פרטני.
ניתוח של Fuxnet מציע פריסה מרחוק של התוכנה הזדונית. לאחר חדירתו, הוא יוזם מחיקה של קבצים וספריות חיוניות, משבית שירותי גישה מרחוק כדי לסכל ניסיונות שחזור, ומחק נתוני טבלת ניתוב כדי להפריע לתקשורת בין מכשיר למכשיר. לאחר מכן, Fuxnet מוחק את מערכת הקבצים ומשכתב את זיכרון ההבזק של המכשיר.
לאחר השחתה של מערכת הקבצים וחסימת גישה למכשיר, התוכנה הזדונית מנסה לפגוע פיזית בשבב הזיכרון של NAND ולאחר מכן משכתבת את אמצעי האחסון של UBI כדי למנוע אתחול מחדש. בנוסף, היא מבקשת לשבש חיישנים המקושרים לשער על ידי הצפת ערוצים טוריים בנתונים אקראיים, במטרה להציף גם את האפיק הטורי וגם את החיישנים.
חוקרים משערים שהתוכנה הזדונית של Fuxnet עשויה להדביק שערי חיישן
פעולת התוכנה הזדונית מוסיפה שוב ושוב נתונים שרירותיים לערוץ Meter-Bus. פעולה זו חוסמת את השידור והקליטה של נתונים בין החיישנים לשער החיישן, מה שהופך את רכישת נתוני החיישן ללא יעילה. לפיכך, למרות טענת התוקפים על פגיעה ב-87,000 מכשירים, נראה מעשי יותר שהם הצליחו להדביק את שערי החיישנים. ההצפה שלהם לאחר מכן של ערוץ Meter-Bus, בדומה ל-Fzzing רשת, נועדה לשבש עוד יותר את ציוד החיישנים המחוברים זה לזה. כתוצאה מכך, נראה שרק שערי החיישנים לא ניתנים להפעלה, מה שהותיר את חיישני הקצה לא מושפעים.
