Fuxnet ICS-malware
Onderzoekers op het gebied van informatiebeveiliging hebben onlangs Fuxnet geanalyseerd, een vorm van malware gericht op Industrial Control Systems (ICS), die Oekraïense hackers hebben ingezet bij een recente aanval op een Russisch ondergronds infrastructuurbedrijf.
Het hackerscollectief Blackjack, dat naar verluidt verbonden is met het Oekraïense veiligheidsapparaat, heeft de verantwoordelijkheid opgeëist voor het lanceren van aanvallen op verschillende kritieke Russische entiteiten. Hun doelwitten waren onder meer internetproviders (ISP's), nutsbedrijven, datacentra en zelfs het Russische leger, wat resulteerde in aanzienlijke schade en de extractie van gevoelige gegevens.
Bovendien hebben Blackjack-hackers details bekendgemaakt over een vermeende aanval op Moscollector, een in Moskou gevestigd bedrijf dat toezicht houdt op ondergrondse infrastructuur zoals water-, riolering- en communicatiesystemen.
Inhoudsopgave
De Fuxnet-malware wordt ingezet bij aanvalsoperaties
Volgens de hackers is de Russische industriële sensor- en monitoringinfrastructuur buiten werking gesteld. Deze infrastructuur omvat het Network Operation Center (NOC), verantwoordelijk voor het toezicht op gas, water, brandalarmen en diverse andere systemen, naast een uitgebreid netwerk van externe sensoren en IoT-controllers. De hackers beweerden dat ze databases, e-mailservers, interne monitoringsystemen en servers voor gegevensopslag hadden vernietigd.
Bovendien beweerden ze 87.000 sensoren te hebben uitgeschakeld, waaronder sensoren die van vitaal belang zijn voor luchthavens, metrosystemen en gaspijpleidingen. Ze beweerden dit te hebben bereikt met behulp van Fuxnet, een malware die ze vergeleken met een krachtige versie van Stuxnet , waardoor ze sensorapparatuur fysiek konden beschadigen.
De hackers verklaarden dat Fuxnet een stroom RS485/MBus had geïnitieerd en 'willekeurige' commando's gaf aan 87.000 ingebedde controle- en sensorsystemen. Ze benadrukten dat ze opzettelijk ziekenhuizen, luchthavens en andere burgerdoelen van hun acties hebben uitgesloten.
Hoewel de beweringen van de hackers moeilijk te bewijzen zijn, zijn onderzoekers erin geslaagd de Fuxnet-malware te analyseren op basis van informatie en code van de Blackjack-groep.
De Fuxnet-malware kan ernstige verstoringen veroorzaken
Cybersecurity-experts benadrukken dat de fysieke sensoren die door Moscollector worden gebruikt en die verantwoordelijk zijn voor het verzamelen van gegevens zoals temperatuur, waarschijnlijk ongedeerd zijn gebleven door Fuxnet. In plaats daarvan wordt aangenomen dat de malware zich heeft gericht op ongeveer 500 sensorgateways, die de communicatie met de sensoren vergemakkelijken via een seriële bus zoals RS485/Meter-Bus, zoals vermeld door Blackjack. Deze gateways zijn ook met internet verbonden om gegevens naar het wereldwijde monitoringsysteem van het bedrijf te verzenden.
Als de toegangspoorten in gevaar komen, kunnen de reparaties omvangrijk blijken, gezien hun geografische spreiding over Moskou en de buitenwijken. Voor elk apparaat is vervanging nodig of moet de firmware opnieuw worden geflasht.
Analyse van Fuxnet suggereert dat de malware op afstand kan worden ingezet. Eenmaal geïnfiltreerd, initieert het de verwijdering van cruciale bestanden en mappen, schakelt het externe toegangsdiensten uit om herstelpogingen te dwarsbomen, en wist het routeringstabelgegevens om de communicatie tussen apparaten te belemmeren. Vervolgens wist Fuxnet het bestandssysteem en herschrijft het flashgeheugen van het apparaat.
Na het beschadigen van het bestandssysteem en het blokkeren van de toegang tot het apparaat, probeert de malware de NAND-geheugenchip fysiek te beschadigen en herschrijft vervolgens het UBI-volume om het opnieuw opstarten te belemmeren. Bovendien probeert het sensoren die aan de gateway zijn gekoppeld te verstoren door seriële kanalen te overspoelen met willekeurige gegevens, met als doel zowel de seriële bus als de sensoren te overweldigen.
Onderzoekers speculeren dat de Fuxnet-malware mogelijk sensorgateways heeft geïnfecteerd
De malwareoperatie voegt herhaaldelijk willekeurige gegevens toe aan het Meter-Bus-kanaal. Deze actie belemmert de overdracht en ontvangst van gegevens tussen de sensoren en de sensorgateway, waardoor het verkrijgen van sensorgegevens niet effectief is. Ondanks de bewering van de aanvallers dat ze 87.000 apparaten in gevaar hebben gebracht, lijkt het dus praktischer dat ze erin zijn geslaagd de sensorgateways te infecteren. Hun daaropvolgende overstroming van het Meter-Bus-kanaal, vergelijkbaar met netwerkfuzzing, had tot doel de onderling verbonden sensorapparatuur verder te ontwrichten. Bijgevolg lijkt het erop dat alleen de sensorgateways onbruikbaar zijn geworden, waardoor de eindsensoren onaangetast blijven.
