Malware Fuxnet ICS
Cercetătorii în securitatea informațiilor au analizat recent Fuxnet, o formă de malware care vizează sistemele de control industrial (ICS), pe care hackerii ucraineni l-au implementat într-un atac recent asupra unei firme rusești de infrastructură subterană.
Colectivul de hacking Blackjack, care se presupune că are legătură cu aparatul de securitate al Ucrainei, și-a afirmat responsabilitatea pentru lansarea de atacuri asupra mai multor entități critice rusești. Țintele lor au inclus furnizori de servicii de internet (ISP), utilități, centre de date și chiar armata Rusiei, ceea ce a dus la pagube substanțiale și la extragerea de date sensibile.
Mai mult, hackerii Blackjack au divulgat detalii cu privire la o presupusă grevă împotriva Moscollector, o companie din Moscova care supraveghează infrastructura subterană precum apă, canalizare și sistemele de comunicații.
Cuprins
Programul malware Fuxnet este implementat în operațiuni de atac
Potrivit hackerilor, senzorii industriali și infrastructura de monitorizare a Rusiei au devenit inoperante. Această infrastructură include Centrul de operare a rețelei (NOC), responsabil pentru supravegherea alarmelor de gaz, apă, incendiu și diverse alte sisteme, alături de o rețea extinsă de senzori la distanță și controlere IoT. Hackerii au afirmat că au șters bazele de date, serverele de e-mail, sistemele interne de monitorizare și serverele de stocare a datelor.
Mai mult, ei au susținut că au dezactivat 87.000 de senzori, inclusiv cei vitali pentru aeroporturi, sisteme de metrou și conducte de gaz. Ei au susținut că au realizat acest lucru folosind Fuxnet, un malware pe care l-au comparat cu o versiune puternică a Stuxnet , permițându-le să deterioreze fizic echipamentele senzorilor.
Hackerii au declarat că Fuxnet a inițiat un flux de RS485/MBus și a emis comenzi „aleatorie” către 87.000 de sisteme de control și senzoriale încorporate. Aceștia au subliniat că au exclus în mod deliberat spitalele, aeroporturile și alte ținte civile din acțiunile lor.
În timp ce afirmațiile hackerilor sunt dificil de demonstrat, cercetătorii au reușit să analizeze malware-ul Fuxnet pe baza informațiilor și codului furnizat de grupul Blackjack.
Programul malware Fuxnet ar putea cauza întreruperi grave
Experții în securitate cibernetică subliniază că senzorii fizici utilizați de Moscollector, care sunt responsabili pentru colectarea de date precum temperatura, au rămas probabil nevătămați de Fuxnet. În schimb, se crede că malware-ul a vizat aproximativ 500 de gateway-uri cu senzori, care facilitează comunicarea cu senzorii printr-o magistrală serial precum RS485/Meter-Bus, așa cum a menționat Blackjack. Aceste gateway-uri sunt, de asemenea, conectate la internet pentru a transmite date către sistemul global de monitorizare al companiei.
În cazul în care porțile de acces ar fi compromise, reparațiile s-ar putea dovedi ample, având în vedere dispersarea lor geografică în Moscova și periferiile acesteia. Fiecare dispozitiv ar necesita fie o înlocuire, fie o reîncărcare a firmware-ului individual.
Analiza Fuxnet sugerează implementarea de la distanță a malware-ului. Odată infiltrat, inițiază ștergerea fișierelor și directoarelor esențiale, dezactivează serviciile de acces la distanță pentru a împiedica încercările de restaurare și șterge datele din tabelul de rutare pentru a împiedica comunicarea de la dispozitiv la dispozitiv. Ulterior, Fuxnet șterge sistemul de fișiere și rescrie memoria flash a dispozitivului.
După coruperea sistemului de fișiere și blocarea accesului la dispozitiv, malware-ul încearcă să deterioreze fizic cipul de memorie NAND și apoi rescrie volumul UBI pentru a împiedica repornirea. În plus, încearcă să perturbe senzorii legați de gateway prin inundarea canalelor seriale cu date aleatorii, cu scopul de a copleși atât magistrala serială, cât și senzorii.
Cercetătorii speculează că programul malware Fuxnet ar putea fi infectat porțile senzorilor
Operația malware adaugă în mod repetat date arbitrare la canalul Meter-Bus. Această acțiune împiedică transmiterea și recepția datelor între senzori și poarta de acces pentru senzori, făcând achiziția datelor senzorului ineficientă. Prin urmare, în ciuda pretenției atacatorilor de a compromite 87.000 de dispozitive, pare mai practic că au reușit să infecteze gateway-urile senzorilor. Inundarea lor ulterioară a canalului Meter-Bus, asemănătoare cu fuzzing-ul rețelei, a urmărit să perturbe și mai mult echipamentul senzorilor interconectați. În consecință, se pare că doar gateway-urile senzorilor au fost inoperabile, lăsând senzorii de capăt neafectați.
