फक्सनेट आईसीएस मालवेयर

सूचना सुरक्षा अनुसन्धानकर्ताहरूले भर्खरै फक्सनेटको विश्लेषण गरे, औद्योगिक नियन्त्रण प्रणाली (ICS) लाई लक्षित गर्ने मालवेयरको एक रूप, जसलाई युक्रेनी ह्याकरहरूले रूसी भूमिगत पूर्वाधार फर्ममा हालैको आक्रमणमा खटाएको थियो।

ह्याकिङ सामूहिक ब्ल्याकज्याक, कथित रूपमा युक्रेनको सुरक्षा उपकरणसँग जोडिएको, धेरै महत्वपूर्ण रूसी संस्थाहरूमा आक्रमणहरू सुरु गर्न जिम्मेवारी लिएको छ। तिनीहरूको लक्ष्यमा इन्टरनेट सेवा प्रदायकहरू (ISPs), उपयोगिताहरू, डाटा सेन्टरहरू, र रूसको सेना पनि समावेश थिए, जसले गर्दा पर्याप्त क्षति र संवेदनशील डेटाको निकासी।

यसबाहेक, ब्ल्याकज्याक ह्याकरहरूले पानी, ढल, र सञ्चार प्रणाली जस्ता भूमिगत पूर्वाधारहरूको निरीक्षण गर्ने मस्कोमा रहेको कम्पनी मोस्कोलेक्टर विरुद्ध कथित हडतालको बारेमा विवरणहरू खुलाएका छन्।

फक्सनेट मालवेयर आक्रमण अपरेशनहरूमा तैनात गरिएको छ

ह्याकरहरूका अनुसार रसियाको औद्योगिक सेन्सर र अनुगमन पूर्वाधारलाई निष्क्रिय पारिएको छ। यस पूर्वाधारमा रिमोट सेन्सर र IoT नियन्त्रकहरूको फराकिलो नेटवर्कको साथसाथै ग्यास, पानी, फायर अलार्म, र अन्य विभिन्न प्रणालीहरूको निरीक्षण गर्न जिम्मेवार नेटवर्क अपरेशन सेन्टर (NOC) समावेश छ। ह्याकरहरूले दाबी गरे कि उनीहरूले डाटाबेसहरू, इमेल सर्भरहरू, आन्तरिक निगरानी प्रणालीहरू र डाटा भण्डारण सर्भरहरू नष्ट गरेका थिए।

यसबाहेक, तिनीहरूले एयरपोर्ट, सबवे प्रणाली, र ग्यास पाइपलाइनहरूका लागि महत्त्वपूर्ण सहित 87,000 सेन्सरहरू निष्क्रिय पारेको आरोप छ। उनीहरूले फक्सनेट प्रयोग गरेर यो प्राप्त गरेको दाबी गरे, उनीहरूले स्टक्सनेटको शक्तिशाली संस्करणसँग तुलना गरेको मालवेयर, उनीहरूलाई सेन्सर उपकरणहरूलाई शारीरिक रूपमा क्षति पुर्‍याउन अनुमति दिँदै।

ह्याकरहरूले भने कि फक्सनेटले RS485/MBus को बाढी सुरु गरेको थियो र 87,000 एम्बेडेड नियन्त्रण र सेन्सरी प्रणालीहरूलाई 'यादृच्छिक' आदेशहरू जारी गरिरहेको थियो। उनीहरूले जानाजानी अस्पताल, एयरपोर्ट र अन्य नागरिक लक्ष्यहरूलाई उनीहरूको कार्यबाट हटाएकोमा जोड दिए।

ह्याकरहरूको दावी प्रमाणित गर्न चुनौतीपूर्ण हुँदा, अन्वेषकहरूले ब्ल्याकज्याक समूहद्वारा प्रदान गरिएको जानकारी र कोडको आधारमा फक्सनेट मालवेयरको विश्लेषण गर्न सफल भए।

फक्सनेट मालवेयरले गम्भीर अवरोधहरू निम्त्याउन सक्छ

साइबरसुरक्षा विशेषज्ञहरूले हाइलाइट गर्छन् कि Moscollector द्वारा प्रयोग गरिएको भौतिक सेन्सरहरू, जुन तापक्रम जस्ता डेटा सङ्कलन गर्न जिम्मेवार छन्, सम्भवतः Fuxnet द्वारा सुरक्षित रहन्छन्। यसको सट्टा, मालवेयरले लगभग 500 सेन्सर गेटवेहरू लक्षित गरेको विश्वास गरिन्छ, जसले सेन्सरहरूसँग सिरियल बस जस्तै RS485/Meter-Bus, ब्ल्याकज्याकले उल्लेख गरेअनुसार सञ्चार गर्न सहज बनाउँछ। यी गेटवेहरू कम्पनीको विश्वव्यापी निगरानी प्रणालीमा डाटा प्रसारण गर्न इन्टरनेट-जडित पनि छन्।

गेटवेहरू सम्झौता गरिएमा, मस्को र यसको बाहिरी इलाकाहरूमा तिनीहरूको भौगोलिक फैलावटलाई ध्यानमा राख्दै, मर्मत व्यापक साबित हुन सक्छ। प्रत्येक यन्त्रलाई प्रतिस्थापन वा व्यक्तिगत फर्मवेयर रिफ्ल्याशिंग आवश्यक पर्दछ।

फक्सनेटको विश्लेषणले मालवेयरको रिमोट डिप्लोइमेन्ट सुझाव दिन्छ। एक पटक घुसपैठ गरेपछि, यसले महत्त्वपूर्ण फाइलहरू र डाइरेक्टरीहरू मेटाउन थाल्छ, पुनर्स्थापना प्रयासहरूलाई विफल पार्न रिमोट पहुँच सेवाहरू असक्षम पार्छ, र यन्त्र-देखि-यन्त्र सञ्चारमा बाधा पुर्‍याउन राउटिङ तालिका डेटा वाइप गर्दछ। पछि, फक्सनेटले फाइल प्रणाली मेटाउँछ र यन्त्रको फ्ल्यास मेमोरी पुन: लेख्छ।

फाइल प्रणाली भ्रष्ट र उपकरण पहुँच रोक्दा, मालवेयरले भौतिक रूपमा NAND मेमोरी चिपलाई क्षति पुर्‍याउने प्रयास गर्दछ र त्यसपछि रिबुट गर्न बाधा पुर्‍याउन UBI भोल्युम पुन: लेख्छ। थप रूपमा, यसले गेटवेसँग जोडिएका सेन्सरहरूलाई अनियमित डेटाको साथ धारावाहिक च्यानलहरू भरेर बाधा पुर्‍याउन खोज्छ, दुबै सिरियल बस र सेन्सरहरूलाई ओझेलमा पार्ने लक्ष्य राख्छ।

अन्वेषकहरूले अनुमान गरेका छन् कि फक्सनेट मालवेयरले सेन्सर गेटवेहरू संक्रमित गरेको हुन सक्छ

मालवेयर सञ्चालनले बारम्बार मिटर-बस च्यानलमा मनमानी डाटा थप्छ। यस कार्यले सेन्सर र सेन्सर गेटवे बीचको डाटाको प्रसारण र रिसेप्शनमा बाधा पुर्‍याउँछ, सेन्सर डाटाको अधिग्रहणलाई प्रभावहीन बनाउँदछ। तसर्थ, 87,000 यन्त्रहरू सम्झौता गरेको आक्रमणकारीहरूको दावीको बावजुद, तिनीहरूले सेन्सर गेटवेहरू संक्रमित गर्न सफल भएका थिए भन्ने कुरा बढी व्यावहारिक देखिन्छ। तिनीहरूको पछिको मिटर-बस च्यानलको बाढी, नेटवर्क फजिंग जस्तै, अन्तरसम्बन्धित सेन्सर उपकरणहरूलाई थप बाधा पुर्‍याउने उद्देश्य थियो। फलस्वरूप, यस्तो देखिन्छ कि केवल सेन्सर गेटवेहरू अप्रभावी रेन्डर गरिएको थियो, अन्त-सेन्सरहरू अप्रभावित छोडेर।