Fuxnet ICS rosszindulatú program
Az információbiztonsági kutatók a közelmúltban elemezték a Fuxnetet, az ipari vezérlőrendszereket (ICS) megcélzó rosszindulatú programok egyik formáját, amelyet ukrán hackerek vetettek be egy orosz földalatti infrastruktúra-cég elleni közelmúltbeli támadás során.
A Blackjack hacker kollektíva, amely állítólag Ukrajna biztonsági apparátusához kapcsolódik, vállalta a felelősséget több kritikus orosz entitás elleni támadásokért. Célpontjaik között voltak internetszolgáltatók (ISP), közművek, adatközpontok, sőt még az orosz hadsereg is, ami jelentős károkat és érzékeny adatok kinyerését eredményezte.
Ezenkívül a Blackjack hackerek konkrétumokat árultak el a Moscollector elleni állítólagos sztrájkkal kapcsolatban, egy moszkvai székhelyű cég, amely felügyeli a földalatti infrastruktúrát, például a víz-, szennyvíz- és kommunikációs rendszereket.
Tartalomjegyzék
A Fuxnet rosszindulatú programot a támadási műveletekben telepítik
A hackerek szerint az oroszországi ipari szenzor- és felügyeleti infrastruktúra működésképtelenné vált. Ez az infrastruktúra magában foglalja a Hálózati Operációs Központot (NOC), amely a gáz-, víz-, tűzriasztó és számos egyéb rendszer felügyeletéért felelős, valamint a távoli érzékelőkből és IoT-vezérlőkből álló kiterjedt hálózatot. A hackerek azt állították, hogy törölték az adatbázisokat, az e-mail szervereket, a belső felügyeleti rendszereket és az adattároló szervereket.
Ezenkívül azt állították, hogy 87 000 érzékelőt hatástalanítottak, köztük olyanokat, amelyek létfontosságúak a repülőterek, metrórendszerek és gázvezetékek számára. Azt állították, hogy ezt a Fuxnet segítségével érték el, egy olyan kártevőt, amelyet a Stuxnet egy hatékony verziójához hasonlítottak, és lehetővé tette számukra, hogy fizikailag károsítsák az érzékelőket.
A hackerek kijelentették, hogy a Fuxnet elindította az RS485/MBus özönét, és „véletlenszerű” parancsokat adott ki 87 000 beágyazott vezérlő és szenzoros rendszernek. Hangsúlyozták, hogy szándékosan zárják ki akcióikból a kórházakat, repülőtereket és más polgári célpontokat.
Míg a hackerek állításait nehéz bizonyítani, a kutatóknak sikerült elemezniük a Fuxnet kártevőt a Blackjack csoport által biztosított információk és kódok alapján.
A Fuxnet kártevő súlyos fennakadásokat okozhat
A kiberbiztonsági szakértők kiemelik, hogy a Moscollector által használt fizikai érzékelők, amelyek olyan adatok gyűjtéséért felelősek, mint a hőmérséklet, valószínűleg sértetlenek maradtak a Fuxnetnél. Ehelyett a rosszindulatú program vélhetően körülbelül 500 érzékelő átjárót célzott meg, amelyek megkönnyítik a kommunikációt az érzékelőkkel egy soros buszon, például az RS485/Meter-Buson keresztül, ahogy azt Blackjack említette. Ezek az átjárók internetkapcsolattal is rendelkeznek, így továbbítják az adatokat a vállalat globális megfigyelőrendszeréhez.
Ha az átjárók veszélybe kerülnének, a javítások kiterjedtnek bizonyulhatnak, tekintettel Moszkvában és külvárosaiban elterjedt földrajzi eloszlásukra. Minden eszköz cserét vagy egyedi firmware-frissítést igényel.
A Fuxnet elemzése a kártevő távoli telepítését javasolja. A beszivárgás után elindítja a létfontosságú fájlok és könyvtárak törlését, letiltja a távoli hozzáférési szolgáltatásokat a visszaállítási kísérletek meghiúsítása érdekében, és törli az útválasztási táblázat adatait, hogy akadályozza az eszközök közötti kommunikációt. Ezt követően a Fuxnet törli a fájlrendszert, és átírja az eszköz flash memóriáját.
A fájlrendszer megsértése és az eszközök hozzáférésének korlátozása esetén a rosszindulatú program megpróbálja fizikailag károsítani a NAND memóriachipet, majd átírja az UBI-kötetet, hogy megakadályozza az újraindítást. Ezen túlmenően az átjáróhoz kapcsolódó érzékelők megzavarására törekszik azáltal, hogy véletlenszerű adatokkal árasztja el a soros csatornákat, és célja a soros busz és az érzékelők túlterhelése.
A kutatók azt feltételezik, hogy a Fuxnet rosszindulatú program megfertőzte az érzékelő átjárókat
A rosszindulatú program ismételten tetszőleges adatokat ad hozzá a Meter-Bus csatornához. Ez a művelet akadályozza az érzékelők és az érzékelő átjáró közötti adatátvitelt és -vételt, ami hatástalanná teszi az érzékelőadatok gyűjtését. Ezért annak ellenére, hogy a támadók azt állítják, hogy 87 000 eszközt veszélyeztettek, praktikusabbnak tűnik, hogy sikerült megfertőzniük az érzékelő átjáróit. A Meter-Bus csatorna ezt követő elárasztása, amely a hálózat összeomlásához hasonlít, az összekapcsolt érzékelőberendezések további megzavarását célozta. Következésképpen úgy tűnik, hogy csak az érzékelő átjáróit tették működésképtelenné, így a végérzékelőket nem érinti.
