Fuxnet ICS ļaunprātīga programmatūra
Informācijas drošības pētnieki nesen analizēja Fuxnet, ļaunprogrammatūras veidu, kas vērsts uz Industrial Control Systems (ICS), ko Ukrainas hakeri izvietoja nesenā uzbrukumā Krievijas pazemes infrastruktūras uzņēmumam.
Datorurķētāju kolektīvs Blackjack, kas, iespējams, ir saistīts ar Ukrainas drošības aparātu, ir uzņēmies atbildību par uzbrukumu sākšanu vairākām kritiskām Krievijas vienībām. Viņu mērķi bija interneta pakalpojumu sniedzēji (ISP), komunālie pakalpojumi, datu centri un pat Krievijas militārpersonas, kā rezultātā tika nodarīts būtisks kaitējums un tika iegūti sensitīvi dati.
Turklāt Blackjack hakeri ir atklājuši konkrētu informāciju par iespējamo streiku pret Moscollector, Maskavas uzņēmumu, kas pārrauga pazemes infrastruktūru, piemēram, ūdens, kanalizācijas un sakaru sistēmas.
Satura rādītājs
Fuxnet ļaunprogrammatūra ir izvietota uzbrukuma operācijās
Pēc hakeru domām, Krievijas rūpnieciskā sensoru un uzraudzības infrastruktūra ir kļuvusi nedarbīga. Šajā infrastruktūrā ir iekļauts Tīkla operāciju centrs (NOC), kas ir atbildīgs par gāzes, ūdens, ugunsgrēka signalizācijas un dažādu citu sistēmu pārraudzību, kā arī plaši izplatīts attālo sensoru un IoT kontrolieru tīkls. Hakeri apgalvoja, ka ir iznīcinājuši datu bāzes, e-pasta serverus, iekšējās uzraudzības sistēmas un datu uzglabāšanas serverus.
Turklāt viņi apgalvoja, ka ir deaktivizējuši 87 000 sensoru, tostarp tos, kas ir svarīgi lidostām, metro sistēmām un gāzes vadiem. Viņi apgalvoja, ka to ir sasnieguši, izmantojot Fuxnet — ļaunprogrammatūru, kuru viņi pielīdzināja spēcīgai Stuxnet versijai, ļaujot fiziski sabojāt sensoru aprīkojumu.
Hakeri paziņoja, ka Fuxnet ir ierosinājis RS485/MBus plūdus un izdod "nejaušas" komandas 87 000 iegulto vadības un sensoro sistēmu. Viņi uzsvēra, ka apzināti no savām darbībām izslēdz slimnīcas, lidostas un citus civilos mērķus.
Lai gan hakeru apgalvojumus ir grūti pierādīt, pētniekiem izdevās analizēt Fuxnet ļaunprogrammatūru, pamatojoties uz Blackjack grupas sniegto informāciju un kodu.
Fuxnet ļaunprātīga programmatūra var izraisīt nopietnus traucējumus
Kiberdrošības eksperti uzsver, ka Moscollector izmantotie fiziskie sensori, kas ir atbildīgi par tādu datu vākšanu kā temperatūra, Fuxnet, visticamāk, palika neskarti. Tā vietā tiek uzskatīts, ka ļaunprogrammatūra ir mērķējusi uz aptuveni 500 sensoru vārtejām, kas atvieglo saziņu ar sensoriem, izmantojot seriālo kopni, piemēram, RS485/Meter-Bus, kā minēts Blackjack. Šīs vārtejas ir arī savienotas ar internetu, lai pārsūtītu datus uz uzņēmuma globālo uzraudzības sistēmu.
Ja vārti tiktu apdraudēti, remontdarbi varētu būt apjomīgi, ņemot vērā to ģeogrāfisko izkliedi Maskavā un tās nomalē. Katrai ierīcei būs nepieciešama nomaiņa vai atsevišķa programmaparatūras atsvaidzināšana.
Fuxnet analīze liecina par ļaunprātīgas programmatūras attālinātu izvietošanu. Kad tas ir iefiltrēts, tas sāk svarīgu failu un direktoriju dzēšanu, atspējo attālās piekļuves pakalpojumus, lai kavētu atjaunošanas mēģinājumus, un dzēš maršrutēšanas tabulas datus, lai kavētu ierīču savstarpējo saziņu. Pēc tam Fuxnet izdzēš failu sistēmu un pārraksta ierīces zibatmiņu.
Bojājot failu sistēmu un liedzot piekļuvi ierīcei, ļaunprogrammatūra cenšas fiziski sabojāt NAND atmiņas mikroshēmu un pēc tam pārraksta UBI sējumu, lai kavētu atsāknēšanu. Turklāt tā cenšas traucēt ar vārteju saistītos sensorus, pārpludinot seriālos kanālus ar nejaušiem datiem, lai pārslogotu gan seriālo kopni, gan sensorus.
Pētnieki pieļauj, ka Fuxnet ļaunprogrammatūra varētu būt inficējusi sensoru vārtejas
Ļaunprātīgas programmatūras darbība atkārtoti pievieno patvaļīgus datus Meter-Bus kanālam. Šī darbība kavē datu pārraidi un saņemšanu starp sensoriem un sensoru vārteju, padarot sensora datu iegūšanu neefektīvu. Tādējādi, neskatoties uz uzbrucēju apgalvojumu par 87 000 ierīču kompromitēšanu, šķiet praktiskāk, ka viņiem ir izdevies inficēt sensoru vārtejas. Viņu sekojošā Meter-Bus kanāla applūšana, kas līdzinās tīkla izplūšanai, bija vērsta uz to, lai vēl vairāk traucētu savstarpēji savienoto sensoru aprīkojumu. Līdz ar to šķiet, ka tikai sensoru vārtejas tika padarītas nedarbīgas, atstājot gala sensorus neskartus.
