Fuxnet ICS Malware
Informasjonssikkerhetsforskere analyserte nylig Fuxnet, en form for skadelig programvare rettet mot Industrial Control Systems (ICS), som ukrainske hackere brukte i et nylig angrep på et russisk underjordisk infrastrukturfirma.
Hackerkollektivet Blackjack, som angivelig er knyttet til Ukrainas sikkerhetsapparat, har hevdet ansvaret for å starte angrep på flere kritiske russiske enheter. Målene deres inkluderte internettleverandører (ISP), verktøy, datasentre og til og med Russlands militære, noe som resulterte i betydelig skade og utvinning av sensitive data.
Dessuten har blackjack-hackere røpet detaljer om en påstått streik mot Moscollector, et Moskva-basert selskap som overvåker underjordisk infrastruktur som vann, kloakk og kommunikasjonssystemer.
Innholdsfortegnelse
Fuxnet Malware er distribuert i angrepsoperasjoner
Ifølge hackerne har Russlands industrielle sensor- og overvåkingsinfrastruktur blitt uvirksom. Denne infrastrukturen inkluderer Network Operation Center (NOC), ansvarlig for å overvåke gass, vann, brannalarmer og forskjellige andre systemer, sammen med et omfattende nettverk av eksterne sensorer og IoT-kontrollere. Hackerne hevdet at de hadde slettet databaser, e-postservere, interne overvåkingssystemer og datalagringsservere.
Videre hevdet de å ha deaktivert 87 000 sensorer, inkludert de som er avgjørende for flyplasser, T-banesystemer og gassrørledninger. De hevdet å ha oppnådd dette ved å bruke Fuxnet, en skadelig programvare de sammenlignet med en potent versjon av Stuxnet , som lar dem skade sensorutstyr fysisk.
Hackerne uttalte at Fuxnet hadde satt i gang en flom av RS485/MBus og ga "tilfeldige" kommandoer til 87 000 innebygde kontroll- og sensorsystemer. De understreket at de bevisst ekskluderte sykehus, flyplasser og andre sivile mål fra sine handlinger.
Mens hackernes påstander er utfordrende å bevise, klarte forskere å analysere Fuxnet malware basert på informasjon og kode levert av Blackjack-gruppen.
Fuxnet Malware kan forårsake alvorlige forstyrrelser
Eksperter på nettsikkerhet fremhever at de fysiske sensorene som brukes av Moscollector, som er ansvarlige for å samle inn data som temperatur, sannsynligvis forble uskadd av Fuxnet. I stedet antas skadevaren å ha rettet seg mot omtrent 500 sensorgatewayer, som letter kommunikasjonen med sensorene via en seriell buss som RS485/Meter-Bus, som nevnt av Blackjack. Disse gatewayene er også koblet til internett for å overføre data til selskapets globale overvåkingssystem.
Skulle portene bli kompromittert, kan reparasjoner vise seg å bli omfattende, gitt deres geografiske spredning over Moskva og dens utkanter. Hver enhet vil kreve enten en utskifting eller individuell fastvare-relashing.
Analyse av Fuxnet antyder ekstern distribusjon av skadelig programvare. Når den er infiltrert, initierer den sletting av viktige filer og kataloger, deaktiverer fjerntilgangstjenester for å hindre gjenopprettingsforsøk, og sletter rutetabelldata for å hindre enhet-til-enhet-kommunikasjon. Deretter sletter Fuxnet filsystemet og omskriver enhetens flashminne.
Ved å korrupte filsystemet og sperre enhetstilgang, forsøker skadevaren å fysisk skade NAND-minnebrikken og omskriver deretter UBI-volumet for å hindre omstart. I tillegg søker den å forstyrre sensorer knyttet til gatewayen ved å oversvømme serielle kanaler med tilfeldige data, med sikte på å overvelde både den serielle bussen og sensorene.
Forskere spekulerer i at Fuxnet Malware kan ha infisert sensorgatewayer
Skadevareoperasjonen legger gjentatte ganger til vilkårlige data til Meter-Bus-kanalen. Denne handlingen hindrer overføring og mottak av data mellom sensorene og sensorgatewayen, noe som gjør innhentingen av sensordata ineffektiv. Til tross for angripernes påstand om å kompromittere 87 000 enheter, virker det derfor mer praktisk at de hadde lyktes med å infisere sensorgatewayene. Deres påfølgende oversvømmelse av Meter-Bus-kanalen, i likhet med nettverksfuzzing, hadde som mål å forstyrre det sammenkoblede sensorutstyret ytterligere. Følgelig ser det ut til at bare sensorgatewayene ble gjort ubrukelige, og endesensorene ble upåvirket.
