Fuxnet ICS Malware
Penyelidik keselamatan maklumat baru-baru ini menganalisis Fuxnet, satu bentuk perisian hasad yang menyasarkan Sistem Kawalan Perindustrian (ICS), yang digunakan oleh penggodam Ukraine dalam serangan baru-baru ini ke atas firma infrastruktur bawah tanah Rusia.
Blackjack kolektif penggodaman, yang kononnya dikaitkan dengan peralatan keselamatan Ukraine, telah menegaskan tanggungjawab untuk melancarkan serangan ke atas beberapa entiti Rusia yang kritikal. Sasaran mereka termasuk penyedia perkhidmatan Internet (ISP), utiliti, pusat data, dan juga tentera Rusia, mengakibatkan kerosakan yang besar dan pengekstrakan data sensitif.
Lebih-lebih lagi, penggodam Blackjack telah mendedahkan butiran mengenai dakwaan mogok terhadap Moscollector, sebuah syarikat yang berpangkalan di Moscow yang menyelia infrastruktur bawah tanah seperti air, kumbahan, dan sistem komunikasi.
Isi kandungan
Perisian Hasad Fuxnet Digunakan dalam Operasi Serangan
Menurut penggodam, penderia perindustrian Rusia dan infrastruktur pemantauan telah menjadi tidak berfungsi. Infrastruktur ini termasuk Pusat Operasi Rangkaian (NOC), bertanggungjawab untuk menyelia gas, air, penggera kebakaran dan pelbagai sistem lain, di samping rangkaian penderia jauh dan pengawal IoT yang luas. Penggodam itu menegaskan bahawa mereka telah menghapuskan pangkalan data, pelayan e-mel, sistem pemantauan dalaman dan pelayan storan data.
Tambahan pula, mereka didakwa telah menyahaktifkan 87,000 sensor, termasuk yang penting untuk lapangan terbang, sistem kereta api bawah tanah dan saluran paip gas. Mereka mendakwa telah mencapai ini menggunakan Fuxnet, perisian hasad yang mereka samakan dengan versi kuat Stuxnet , yang membolehkan mereka merosakkan peralatan penderia secara fizikal.
Penggodam menyatakan bahawa Fuxnet telah memulakan banjir RS485/MBus dan mengeluarkan arahan 'rawak' kepada 87,000 sistem kawalan dan deria tertanam. Mereka menegaskan bahawa mereka sengaja mengecualikan hospital, lapangan terbang dan sasaran awam lain daripada tindakan mereka.
Walaupun dakwaan penggodam itu mencabar untuk dibuktikan, penyelidik berjaya menganalisis perisian hasad Fuxnet berdasarkan maklumat dan kod yang disediakan oleh kumpulan Blackjack.
Perisian Hasad Fuxnet boleh Menyebabkan Gangguan Teruk
Pakar keselamatan siber menyerlahkan bahawa penderia fizikal yang digunakan oleh Moscollector, yang bertanggungjawab untuk mengumpul data seperti suhu, berkemungkinan kekal tidak terjejas oleh Fuxnet. Sebaliknya, perisian hasad itu dipercayai telah menyasarkan kira-kira 500 gerbang penderia, yang memudahkan komunikasi dengan penderia melalui bas bersiri seperti RS485/Meter-Bus, seperti yang disebut oleh Blackjack. Gerbang ini juga disambungkan ke Internet untuk menghantar data ke sistem pemantauan global syarikat.
Sekiranya pintu masuk dikompromi, pembaikan boleh terbukti meluas, memandangkan penyebaran geografi mereka merentasi Moscow dan pinggirannya. Setiap peranti memerlukan sama ada penggantian atau pengelasan semula perisian tegar individu.
Analisis Fuxnet mencadangkan penggunaan jauh perisian hasad. Setelah menyusup, ia memulakan pemadaman fail dan direktori penting, melumpuhkan perkhidmatan capaian jauh untuk menggagalkan percubaan pemulihan dan mengelap data jadual penghalaan untuk menghalang komunikasi peranti ke peranti. Selepas itu, Fuxnet memadam sistem fail dan menulis semula memori denyar peranti.
Setelah merosakkan sistem fail dan menyekat akses peranti, perisian hasad berusaha untuk merosakkan cip memori NAND secara fizikal dan kemudian menulis semula volum UBI untuk menghalang but semula. Selain itu, ia bertujuan untuk mengganggu penderia yang dipautkan ke pintu masuk dengan membanjiri saluran bersiri dengan data rawak, bertujuan untuk mengatasi kedua-dua bas bersiri dan penderia.
Penyelidik Berspekulasi bahawa Perisian Hasad Fuxnet mungkin Mempunyai Gerbang Penderia yang Dijangkiti
Operasi perisian hasad berulang kali menambah data sewenang-wenangnya ke saluran Meter-Bus. Tindakan ini menghalang penghantaran dan penerimaan data antara penderia dan gerbang penderia, menyebabkan pemerolehan data penderia tidak berkesan. Oleh itu, walaupun penyerang mendakwa menjejaskan 87,000 peranti, nampaknya lebih praktikal bahawa mereka telah berjaya menjangkiti pintu masuk sensor. Banjir seterusnya saluran Meter-Bus mereka, serupa dengan kekaburan rangkaian, bertujuan untuk mengganggu peralatan sensor yang saling berkaitan. Akibatnya, nampaknya hanya gerbang penderia yang tidak boleh beroperasi, menyebabkan penderia akhir tidak terjejas.
