Malware ICS Fuxnet
I ricercatori di sicurezza informatica hanno recentemente analizzato Fuxnet, una forma di malware che prende di mira i sistemi di controllo industriale (ICS), che gli hacker ucraini hanno implementato in un recente assalto a una società di infrastrutture sotterranee russa.
Il collettivo di hacker Blackjack, presumibilmente legato all'apparato di sicurezza ucraino, ha rivendicato la responsabilità di aver lanciato attacchi contro diverse entità russe critiche. I loro obiettivi includevano fornitori di servizi Internet (ISP), servizi pubblici, data center e persino l'esercito russo, provocando danni sostanziali e l'estrazione di dati sensibili.
Inoltre, gli hacker del blackjack hanno divulgato dettagli riguardanti un presunto attacco contro Moscollector, una società con sede a Mosca che supervisiona le infrastrutture sotterranee come acqua, fognature e sistemi di comunicazione.
Sommario
Il malware Fuxnet viene utilizzato nelle operazioni di attacco
Secondo gli hacker, i sensori industriali e l’infrastruttura di monitoraggio della Russia sono stati resi inoperanti. Questa infrastruttura comprende il Network Operation Center (NOC), responsabile della supervisione di gas, acqua, allarmi antincendio e vari altri sistemi, insieme a una vasta rete di sensori remoti e controller IoT. Gli hacker hanno affermato di aver spazzato via database, server di posta elettronica, sistemi di monitoraggio interno e server di archiviazione dati.
Inoltre, avrebbero disattivato 87.000 sensori, compresi quelli vitali per aeroporti, metropolitane e gasdotti. Hanno affermato di aver raggiunto questo obiettivo utilizzando Fuxnet, un malware che hanno paragonato a una versione potente di Stuxnet , consentendo loro di danneggiare fisicamente le apparecchiature dei sensori.
Gli hacker hanno affermato che Fuxnet aveva avviato un'ondata di RS485/MBus e stava inviando comandi "casuali" a 87.000 sistemi di controllo e sensori integrati. Hanno sottolineato di aver deliberatamente escluso ospedali, aeroporti e altri obiettivi civili dalle loro azioni.
Sebbene le affermazioni degli hacker siano difficili da dimostrare, i ricercatori sono riusciti ad analizzare il malware Fuxnet sulla base delle informazioni e del codice forniti dal gruppo Blackjack.
Il malware Fuxnet potrebbe causare gravi interruzioni
Gli esperti di sicurezza informatica sottolineano che i sensori fisici utilizzati da Moscollector, responsabili della raccolta di dati come la temperatura, probabilmente sono rimasti indenni da Fuxnet. Si ritiene invece che il malware abbia preso di mira circa 500 gateway di sensori, che facilitano la comunicazione con i sensori tramite un bus seriale come RS485/Meter-Bus, come menzionato da Blackjack. Questi gateway sono inoltre connessi a Internet per trasmettere i dati al sistema di monitoraggio globale dell'azienda.
Se i gateway dovessero essere compromessi, le riparazioni potrebbero rivelarsi estese, data la loro dispersione geografica su Mosca e nei suoi sobborghi. Ogni dispositivo richiederebbe una sostituzione o un reflash del firmware individuale.
L'analisi di Fuxnet suggerisce la distribuzione remota del malware. Una volta infiltrato, avvia l'eliminazione di file e directory cruciali, disabilita i servizi di accesso remoto per contrastare i tentativi di ripristino e cancella i dati della tabella di routing per ostacolare la comunicazione da dispositivo a dispositivo. Successivamente Fuxnet cancella il file system e riscrive la memoria flash del dispositivo.
Dopo aver danneggiato il file system e bloccato l'accesso al dispositivo, il malware tenta di danneggiare fisicamente il chip di memoria NAND e quindi riscrive il volume UBI per impedire il riavvio. Inoltre, cerca di disturbare i sensori collegati al gateway inondando i canali seriali con dati casuali, con l'obiettivo di sopraffare sia il bus seriale che i sensori.
I ricercatori ipotizzano che il malware Fuxnet potrebbe aver infettato i gateway dei sensori
L'operazione malware aggiunge ripetutamente dati arbitrari al canale Meter-Bus. Questa azione ostacola la trasmissione e la ricezione dei dati tra i sensori e il gateway del sensore, rendendo inefficace l'acquisizione dei dati del sensore. Pertanto, nonostante gli aggressori affermino di aver compromesso 87.000 dispositivi, sembra più pratico che siano riusciti a infettare i gateway dei sensori. Il successivo allagamento del canale Meter-Bus, simile al fuzzing della rete, mirava a disturbare ulteriormente le apparecchiature di sensori interconnesse. Di conseguenza, sembra che solo i gateway dei sensori siano stati resi inutilizzabili, lasciando inalterati i sensori finali.
