Złośliwe oprogramowanie Fuxnet ICS
Badacze zajmujący się bezpieczeństwem informacji przeanalizowali niedawno Fuxnet, rodzaj złośliwego oprogramowania atakującego przemysłowe systemy sterowania (ICS), który ukraińscy hakerzy wykorzystali w niedawnym ataku na rosyjską firmę zajmującą się infrastrukturą podziemną.
Kolektyw hakerski Blackjack, rzekomo powiązany z ukraińskim aparatem bezpieczeństwa, przyznał się do przeprowadzenia ataków na kilka kluczowych rosyjskich podmiotów. Ich celem byli dostawcy usług internetowych (ISP), przedsiębiorstwa użyteczności publicznej, centra danych, a nawet rosyjskie wojsko, co spowodowało znaczne szkody i wydobycie wrażliwych danych.
Co więcej, hakerzy Blackjacka ujawnili szczegóły dotyczące rzekomego strajku przeciwko Moscollector, moskiewskiej firmie nadzorującej infrastrukturę podziemną, taką jak systemy wodociągowe, kanalizacyjne i komunikacyjne.
Spis treści
Złośliwe oprogramowanie Fuxnet jest wykorzystywane w operacjach ataku
Według hakerów rosyjska infrastruktura przemysłowa i infrastruktura monitorująca przestała działać. Infrastruktura ta obejmuje Centrum Operacji Sieciowych (NOC), odpowiedzialne za nadzorowanie alarmów gazowych, wodnych, przeciwpożarowych i różnych innych systemów, a także rozległą sieć zdalnych czujników i kontrolerów IoT. Hakerzy twierdzili, że wyczyścili bazy danych, serwery poczty elektronicznej, wewnętrzne systemy monitorowania i serwery przechowywania danych.
Ponadto zarzucali dezaktywację 87 000 czujników, w tym czujników niezbędnych dla lotnisk, metra i gazociągów. Twierdzili, że osiągnęli to za pomocą Fuxnet, szkodliwego oprogramowania, które porównali do potężnej wersji Stuxneta , umożliwiającego im fizyczne uszkodzenie sprzętu czujnikowego.
Hakerzy oświadczyli, że Fuxnet zainicjował zalew RS485/MBus i wydawał „losowe” polecenia do 87 000 wbudowanych systemów sterowania i czujników. Podkreślili, że celowo wykluczyli ze swoich działań szpitale, lotniska i inne cele cywilne.
Chociaż twierdzenia hakerów są trudne do udowodnienia, badaczom udało się przeanalizować szkodliwe oprogramowanie Fuxnet w oparciu o informacje i kod dostarczony przez grupę Blackjack.
Złośliwe oprogramowanie Fuxnet może powodować poważne zakłócenia
Eksperci ds. cyberbezpieczeństwa podkreślają, że czujniki fizyczne wykorzystywane przez Moscollector, które są odpowiedzialne za gromadzenie danych takich jak temperatura, prawdopodobnie pozostały nietknięte przez Fuxnet. Uważa się, że zamiast tego złośliwe oprogramowanie atakowało około 500 bram czujników, które ułatwiają komunikację z czujnikami za pośrednictwem magistrali szeregowej, takiej jak RS485/Meter-Bus, jak wspomniał Blackjack. Bramy te są również połączone z Internetem w celu przesyłania danych do globalnego systemu monitorowania firmy.
Jeśli bramy zostaną naruszone, naprawy mogą okazać się rozległe, biorąc pod uwagę ich geograficzne rozproszenie w Moskwie i na jej obrzeżach. Każde urządzenie wymagałoby wymiany lub osobnego flashowania oprogramowania sprzętowego.
Analiza Fuxnetu sugeruje zdalną instalację szkodliwego oprogramowania. Po infiltracji inicjuje usuwanie kluczowych plików i katalogów, wyłącza usługi dostępu zdalnego, aby udaremnić próby ich przywrócenia, a także czyści dane z tabeli routingu, aby utrudnić komunikację między urządzeniami. Następnie Fuxnet kasuje system plików i ponownie zapisuje pamięć flash urządzenia.
Po uszkodzeniu systemu plików i zablokowaniu dostępu do urządzenia złośliwe oprogramowanie próbuje fizycznie uszkodzić układ pamięci NAND, a następnie ponownie zapisuje wolumin UBI, aby utrudnić ponowne uruchomienie. Ponadto stara się zakłócać działanie czujników połączonych z bramą poprzez zalewanie kanałów szeregowych losowymi danymi, co ma na celu przeciążenie zarówno magistrali szeregowej, jak i czujników.
Badacze spekulują, że złośliwe oprogramowanie Fuxnet mogło zainfekować bramki czujników
Operacja złośliwego oprogramowania wielokrotnie dodaje dowolne dane do kanału Meter-Bus. Działanie to utrudnia transmisję i odbiór danych pomiędzy czujnikami a bramką czujnika, przez co pozyskiwanie danych z czujnika jest nieskuteczne. Dlatego pomimo twierdzeń napastników, że zhakowali 87 000 urządzeń, bardziej praktyczne wydaje się, że udało im się zainfekować bramy czujników. Ich późniejsze zalanie kanału Meter-Bus, podobne do rozmycia sieci, miało na celu dalsze zakłócenie wzajemnie połączonego sprzętu czujnikowego. W rezultacie wydaje się, że jedynie bramki czujników przestały działać, pozostawiając czujniki końcowe nienaruszone.
