„Fuxnet ICS“ kenkėjiška programa
Informacijos saugumo tyrėjai neseniai išanalizavo „Fuxnet“ – kenkėjiškų programų, nukreiptų į pramonės valdymo sistemas (ICS), formą, kurią Ukrainos įsilaužėliai panaudojo neseniai užpuolę Rusijos požeminės infrastruktūros įmonę.
Įsilaužimų kolektyvas Blackjack, tariamai susijęs su Ukrainos saugumo aparatu, prisiėmė atsakomybę už kelių kritinių Rusijos subjektų puolimą. Jų taikiniai buvo interneto paslaugų teikėjai (IPT), komunalinės paslaugos, duomenų centrai ir net Rusijos kariuomenė, todėl buvo padaryta didelė žala ir buvo išgauti neskelbtini duomenys.
Be to, „Blackjack“ įsilaužėliai atskleidė konkrečių dalykų, susijusių su įtariamu streiku prieš „Moscollector“, Maskvoje įsikūrusią įmonę, prižiūrinčią požeminę infrastruktūrą, tokią kaip vandens, kanalizacijos ir ryšių sistemos.
Turinys
„Fuxnet“ kenkėjiška programa yra įdiegta atakos operacijose
Anot programišių, Rusijos pramoninių jutiklių ir stebėjimo infrastruktūra tapo neveikianti. Į šią infrastruktūrą įeina Tinklo operacijų centras (NOC), atsakingas už dujų, vandens, priešgaisrinės signalizacijos ir įvairių kitų sistemų priežiūrą, taip pat platus nuotolinių jutiklių ir daiktų interneto valdiklių tinklas. Įsilaužėliai tvirtino sunaikinę duomenų bazes, el. pašto serverius, vidines stebėjimo sistemas ir duomenų saugojimo serverius.
Be to, jie teigė išjungę 87 000 jutiklių, įskaitant tuos, kurie yra gyvybiškai svarbūs oro uostams, metro sistemoms ir dujotiekiams. Jie teigė, kad tai pasiekė naudodami Fuxnet – kenkėjišką programą, kurią jie palygino su stipria Stuxnet versija, leidžiančia fiziškai sugadinti jutiklių įrangą.
Įsilaužėliai pareiškė, kad „Fuxnet“ inicijavo RS485/MBus srautą ir davė „atsitiktines“ komandas 87 000 įterptųjų valdymo ir jutimo sistemų. Jie pabrėžė, kad jie sąmoningai pašalino ligonines, oro uostus ir kitus civilius objektus iš savo veiksmų.
Nors įsilaužėlių teiginius sunku įrodyti, mokslininkams pavyko išanalizuoti „Fuxnet“ kenkėjišką programą, remdamiesi „Blackjack“ grupės pateikta informacija ir kodu.
Kenkėjiška „Fuxnet“ programa gali sukelti rimtų trikdžių
Kibernetinio saugumo ekspertai pabrėžia, kad „Moscollector“ naudojami fiziniai jutikliai, kurie yra atsakingi už duomenų, pvz., temperatūros, rinkimą, greičiausiai liko nepažeisti „Fuxnet“. Vietoj to, manoma, kad kenkėjiška programa buvo nukreipta į maždaug 500 jutiklių šliuzų, kurie palengvina ryšį su jutikliais per nuosekliąją magistralę, pvz., RS485/Meter-Bus, kaip minėjo Blackjack. Šie vartai taip pat yra prijungti prie interneto, kad būtų galima perduoti duomenis į pasaulinę įmonės stebėjimo sistemą.
Jei vartai būtų pažeisti, remontas gali būti didelis, atsižvelgiant į jų geografinį išsibarstymą Maskvoje ir jos pakraščiuose. Kiekvieną įrenginį reikės pakeisti arba iš naujo atnaujinti programinę-aparatinę įrangą.
„Fuxnet“ analizė rodo, kad kenkėjiška programa būtų dislokuota nuotoliniu būdu. Įsiskverbęs, jis inicijuoja svarbiausių failų ir katalogų trynimą, išjungia nuotolinės prieigos paslaugas, kad sutrukdytų atkurti bandymus, ir ištrina maršruto lentelės duomenis, kad trukdytų įrenginių tarpusavio ryšiui. Vėliau „Fuxnet“ ištrina failų sistemą ir perrašo įrenginio „flash“ atmintį.
Sugadinusi failų sistemą ir uždraudusi prieigą prie įrenginio, kenkėjiška programa stengiasi fiziškai sugadinti NAND atminties lustą ir perrašo UBI tomą, kad trukdytų paleisti iš naujo. Be to, juo siekiama sutrikdyti jutiklius, susietus su šliuzu, užtvindant nuosekliuosius kanalus atsitiktiniais duomenimis, siekiant apkrauti nuosekliąją magistralę ir jutiklius.
Tyrėjai spėja, kad „Fuxnet“ kenkėjiška programa galėjo užkrėsti jutiklių šliuzus
Kenkėjiškos programos operacija pakartotinai prideda savavališkus duomenis į „Meter-Bus“ kanalą. Šis veiksmas trukdo perduoti ir priimti duomenis tarp jutiklių ir jutiklio šliuzo, todėl jutiklio duomenų gavimas tampa neveiksmingas. Taigi, nepaisant užpuolikų tvirtinimo, kad buvo pažeista 87 000 įrenginių, atrodo praktiškiau, kad jiems pavyko užkrėsti jutiklių šliuzus. Jų vėlesnis „Meter-Bus“ kanalo užtvindymas, panašus į tinklo trūkumą, siekė dar labiau sutrikdyti tarpusavyje sujungtą jutiklių įrangą. Todėl atrodo, kad tik jutiklių šliuzai buvo neveikiantys, todėl galutiniai jutikliai nebuvo paveikti.
