फ़क्सनेट आईसीएस मैलवेयर
सूचना सुरक्षा शोधकर्ताओं ने हाल ही में फक्सनेट का विश्लेषण किया, जो औद्योगिक नियंत्रण प्रणालियों (आई.सी.एस.) को लक्ष्य करने वाला मैलवेयर का एक रूप है, जिसका प्रयोग यूक्रेनी हैकरों ने हाल ही में एक रूसी भूमिगत अवसंरचना फर्म पर हमला करने के लिए किया था।
यूक्रेन के सुरक्षा तंत्र से कथित रूप से जुड़े हैकिंग समूह ब्लैकजैक ने कई महत्वपूर्ण रूसी संस्थाओं पर हमले शुरू करने की जिम्मेदारी ली है। उनके निशाने पर इंटरनेट सेवा प्रदाता (आईएसपी), उपयोगिताएँ, डेटा केंद्र और यहाँ तक कि रूस की सेना भी शामिल थी, जिसके परिणामस्वरूप काफी नुकसान हुआ और संवेदनशील डेटा निकाला गया।
इसके अलावा, ब्लैकजैक हैकरों ने मॉस्कलेक्टर के खिलाफ कथित हमले के बारे में विशेष जानकारी दी है, जो मॉस्को स्थित एक कंपनी है जो पानी, सीवेज और संचार प्रणालियों जैसे भूमिगत बुनियादी ढांचे की देखरेख करती है।
विषयसूची
फ़क्सनेट मैलवेयर को आक्रमण कार्यों में तैनात किया गया है
हैकर्स के अनुसार, रूस के औद्योगिक सेंसर और निगरानी ढांचे को निष्क्रिय कर दिया गया है। इस बुनियादी ढांचे में नेटवर्क ऑपरेशन सेंटर (एनओसी) शामिल है, जो गैस, पानी, आग अलार्म और विभिन्न अन्य प्रणालियों की देखरेख के लिए जिम्मेदार है, साथ ही रिमोट सेंसर और IoT नियंत्रकों का एक विशाल नेटवर्क भी है। हैकर्स ने दावा किया कि उन्होंने डेटाबेस, ईमेल सर्वर, आंतरिक निगरानी प्रणाली और डेटा स्टोरेज सर्वर को मिटा दिया है।
इसके अलावा, उन्होंने 87,000 सेंसर को निष्क्रिय करने का आरोप लगाया, जिसमें हवाई अड्डों, सबवे सिस्टम और गैस पाइपलाइनों के लिए महत्वपूर्ण सेंसर भी शामिल हैं। उन्होंने दावा किया कि उन्होंने फ़क्सनेट का उपयोग करके ऐसा किया है, एक मैलवेयर जिसकी तुलना उन्होंने स्टक्सनेट के एक शक्तिशाली संस्करण से की, जिससे उन्हें सेंसर उपकरण को शारीरिक रूप से नुकसान पहुँचाने की अनुमति मिलती है।
हैकर्स ने कहा कि फ़क्सनेट ने RS485/MBus की बाढ़ शुरू कर दी थी और 87,000 एम्बेडेड कंट्रोल और सेंसरी सिस्टम को 'रैंडम' कमांड जारी कर रहा था। उन्होंने इस बात पर ज़ोर दिया कि उन्होंने जानबूझकर अस्पतालों, हवाई अड्डों और अन्य नागरिक लक्ष्यों को अपनी कार्रवाइयों से बाहर रखा।
हालांकि हैकर्स के दावों को साबित करना चुनौतीपूर्ण है, लेकिन शोधकर्ताओं ने ब्लैकजैक समूह द्वारा उपलब्ध कराई गई जानकारी और कोड के आधार पर फक्सनेट मैलवेयर का विश्लेषण करने में कामयाबी हासिल की।
फ़क्सनेट मैलवेयर गंभीर व्यवधान पैदा कर सकता है
साइबर सुरक्षा विशेषज्ञों ने बताया कि मॉस्कलेक्टर द्वारा उपयोग किए जाने वाले भौतिक सेंसर, जो तापमान जैसे डेटा एकत्र करने के लिए जिम्मेदार हैं, संभवतः फ़क्सनेट द्वारा अछूते रहे। इसके बजाय, माना जाता है कि मैलवेयर ने लगभग 500 सेंसर गेटवे को निशाना बनाया है, जो ब्लैकजैक द्वारा बताए गए RS485/मीटर-बस जैसे सीरियल बस के माध्यम से सेंसर के साथ संचार की सुविधा प्रदान करते हैं। ये गेटवे कंपनी के वैश्विक निगरानी प्रणाली को डेटा संचारित करने के लिए इंटरनेट से भी जुड़े हुए हैं।
यदि गेटवे से समझौता किया जाता है, तो मॉस्को और उसके बाहरी इलाकों में उनके भौगोलिक फैलाव को देखते हुए, मरम्मत व्यापक साबित हो सकती है। प्रत्येक डिवाइस को या तो प्रतिस्थापन या व्यक्तिगत फर्मवेयर रीफ्लैशिंग की आवश्यकता होगी।
फक्सनेट के विश्लेषण से पता चलता है कि मैलवेयर को दूर से ही तैनात किया गया है। एक बार घुसपैठ करने के बाद, यह महत्वपूर्ण फ़ाइलों और निर्देशिकाओं को हटाना शुरू कर देता है, पुनर्स्थापना प्रयासों को विफल करने के लिए दूरस्थ पहुँच सेवाओं को अक्षम कर देता है, और डिवाइस-टू-डिवाइस संचार को बाधित करने के लिए रूटिंग टेबल डेटा को मिटा देता है। इसके बाद, फक्सनेट फ़ाइल सिस्टम को मिटा देता है और डिवाइस की फ्लैश मेमोरी को फिर से लिख देता है।
फ़ाइल सिस्टम को दूषित करने और डिवाइस एक्सेस को रोकने के बाद, मैलवेयर NAND मेमोरी चिप को शारीरिक रूप से नुकसान पहुँचाने का प्रयास करता है और फिर रीबूट करने में बाधा डालने के लिए UBI वॉल्यूम को फिर से लिखता है। इसके अतिरिक्त, यह सीरियल चैनलों को यादृच्छिक डेटा से भरकर गेटवे से जुड़े सेंसर को बाधित करने का प्रयास करता है, जिसका उद्देश्य सीरियल बस और सेंसर दोनों को अभिभूत करना है।
शोधकर्ताओं का अनुमान है कि फ़क्सनेट मैलवेयर ने सेंसर गेटवे को संक्रमित कर दिया है
मैलवेयर ऑपरेशन बार-बार मीटर-बस चैनल में मनमाना डेटा जोड़ता है। यह क्रिया सेंसर और सेंसर गेटवे के बीच डेटा के संचरण और प्राप्ति को बाधित करती है, जिससे सेंसर डेटा का अधिग्रहण अप्रभावी हो जाता है। इसलिए, हमलावरों के 87,000 उपकरणों से समझौता करने के दावे के बावजूद, यह अधिक व्यावहारिक प्रतीत होता है कि वे सेंसर गेटवे को संक्रमित करने में सफल रहे थे। मीटर-बस चैनल की उनकी बाद की बाढ़, नेटवर्क फ़ज़िंग के समान, इंटरकनेक्टेड सेंसर उपकरण को और अधिक बाधित करने के उद्देश्य से थी। नतीजतन, ऐसा लगता है कि केवल सेंसर गेटवे ही निष्क्रिय हो गए थे, जिससे अंतिम सेंसर अप्रभावित रह गए।
