Zlonamjerni softver Fuxnet ICS
Istraživači informacijske sigurnosti nedavno su analizirali Fuxnet, oblik zlonamjernog softvera usmjerenog na industrijske upravljačke sustave (ICS), koji su ukrajinski hakeri upotrijebili u nedavnom napadu na rusku podzemnu infrastrukturnu tvrtku.
Hakerski kolektiv Blackjack, navodno povezan sa sigurnosnim aparatom Ukrajine, preuzeo je odgovornost za pokretanje napada na nekoliko kritičnih ruskih entiteta. Njihove su mete uključivale pružatelje internetskih usluga (ISP-ove), komunalne službe, podatkovne centre, pa čak i rusku vojsku, što je rezultiralo značajnom štetom i izvlačenjem osjetljivih podataka.
Štoviše, hakeri Blackjacka otkrili su detalje u vezi s navodnim napadom na Moscollector, tvrtku sa sjedištem u Moskvi koja nadzire podzemnu infrastrukturu poput vodovoda, kanalizacije i komunikacijskih sustava.
Sadržaj
Zlonamjerni softver Fuxnet raspoređen je u operacijama napada
Prema hakerima, ruski industrijski senzori i infrastruktura za nadzor su neispravni. Ova infrastruktura uključuje mrežni operativni centar (NOC), odgovoran za nadzor plina, vode, požarnih alarma i raznih drugih sustava, uz raširenu mrežu daljinskih senzora i IoT kontrolera. Hakeri su tvrdili da su izbrisali baze podataka, poslužitelje e-pošte, interne sustave nadzora i poslužitelje za pohranu podataka.
Nadalje, naveli su da su deaktivirali 87.000 senzora, uključujući one vitalne za zračne luke, sustave podzemne željeznice i plinovode. Tvrdili su da su to postigli korištenjem Fuxneta, zlonamjernog softvera koji su usporedili s moćnom verzijom Stuxneta , koji im omogućuje fizičko oštećenje senzorske opreme.
Hakeri su izjavili da je Fuxnet pokrenuo poplavu RS485/MBus-a i da je izdavao 'nasumične' naredbe za 87.000 ugrađenih kontrolnih i senzorskih sustava. Naglasili su da su iz svojih akcija namjerno isključili bolnice, zračne luke i druge civilne ciljeve.
Dok je tvrdnje hakera teško dokazati, istraživači su uspjeli analizirati zlonamjerni softver Fuxnet na temelju informacija i koda koje je dala grupa Blackjack.
Zlonamjerni softver Fuxnet mogao bi uzrokovati ozbiljne smetnje
Stručnjaci za kibernetičku sigurnost ističu da su fizički senzori koje koristi Moscollector, a koji su odgovorni za prikupljanje podataka poput temperature, vjerojatno ostali neozlijeđeni od strane Fuxneta. Umjesto toga, vjeruje se da je zlonamjerni softver ciljao približno 500 pristupnika senzora, koji olakšavaju komunikaciju sa senzorima putem serijske sabirnice kao što je RS485/Meter-Bus, kako spominje Blackjack. Ovi pristupnici također su povezani s internetom za prijenos podataka u globalni nadzorni sustav tvrtke.
Budu li pristupnici ugroženi, popravci bi se mogli pokazati opsežnima, s obzirom na njihovu geografsku rasprostranjenost po Moskvi i njezinim predgrađima. Svaki bi uređaj zahtijevao ili zamjenu ili pojedinačno ponovno fleširanje firmvera.
Analiza Fuxneta sugerira udaljenu implementaciju zlonamjernog softvera. Nakon što se infiltrira, pokreće brisanje ključnih datoteka i direktorija, onemogućuje usluge daljinskog pristupa kako bi spriječio pokušaje obnove i briše podatke tablice usmjeravanja kako bi spriječio komunikaciju između uređaja. Nakon toga, Fuxnet briše datotečni sustav i ponovno upisuje flash memoriju uređaja.
Nakon oštećenja datotečnog sustava i zabrane pristupa uređaju, zlonamjerni softver nastoji fizički oštetiti NAND memorijski čip i zatim prepisuje UBI volumen kako bi spriječio ponovno pokretanje. Dodatno, nastoji poremetiti senzore povezane s pristupnikom preplavljujući serijske kanale nasumičnim podacima, s ciljem preplavljivanja i serijske sabirnice i senzora.
Istraživači nagađaju da je zlonamjerni softver Fuxnet možda zarazio pristupnike senzora
Operacija zlonamjernog softvera opetovano dodaje proizvoljne podatke u Meter-Bus kanal. Ova radnja ometa prijenos i prijem podataka između senzora i pristupnika senzora, čineći prikupljanje podataka senzora neučinkovitim. Stoga, unatoč tvrdnji napadača da su kompromitirali 87.000 uređaja, čini se praktičnijim da su uspjeli zaraziti pristupnike senzora. Njihovo naknadno preplavljivanje Meter-Bus kanala, slično mrežnom fuzzingu, imalo je za cilj dodatno poremetiti međusobno povezanu senzorsku opremu. Posljedično, čini se da su samo pristupnici senzora postali neoperativni, ostavljajući krajnje senzore nepromijenjenima.
