Вредоносное ПО Fuxnet ICS
Исследователи информационной безопасности недавно проанализировали Fuxnet, разновидность вредоносного ПО, нацеленного на системы промышленного контроля (ICS), которое украинские хакеры использовали во время недавней атаки на российскую подпольную инфраструктурную компанию.
Хакерский коллектив Blackjack, предположительно связанный с аппаратом безопасности Украины, взял на себя ответственность за нападение на несколько важных российских организаций. В число их целей входили интернет-провайдеры (ISP), коммунальные предприятия, центры обработки данных и даже российские военные, что привело к существенному ущербу и извлечению конфиденциальных данных.
Более того, хакеры Blackjack раскрыли подробности предполагаемого удара по Москоллектору, московской компании, контролирующей подземную инфраструктуру, такую как системы водоснабжения, канализации и связи.
Оглавление
Вредоносное ПО Fuxnet используется в ходе атак
По мнению хакеров, российская промышленная инфраструктура датчиков и мониторинга выведена из строя. Эта инфраструктура включает в себя Центр управления сетью (NOC), отвечающий за контроль за газом, водой, пожарной сигнализацией и различными другими системами, а также разветвленную сеть удаленных датчиков и контроллеров Интернета вещей. Хакеры утверждали, что они уничтожили базы данных, почтовые серверы, системы внутреннего мониторинга и серверы хранения данных.
Кроме того, они якобы отключили 87 000 датчиков, в том числе жизненно важных для аэропортов, систем метро и газопроводов. Они утверждали, что добились этого с помощью Fuxnet, вредоносного ПО, которое они сравнили с мощной версией Stuxnet , позволяющего им физически повреждать сенсорное оборудование.
Хакеры заявили, что Fuxnet инициировал флуд RS485/MBus и выдавал «случайные» команды 87 000 встроенным системам управления и сенсорных систем. Они подчеркнули, что намеренно исключили из своих действий больницы, аэропорты и другие гражданские объекты.
Хотя утверждения хакеров сложно доказать, исследователям удалось проанализировать вредоносное ПО Fuxnet на основе информации и кода, предоставленных группой Blackjack.
Вредоносное ПО Fuxnet может вызвать серьезные сбои в работе
Эксперты по кибербезопасности подчеркивают, что физические датчики, используемые Москоллектором и отвечающие за сбор данных, таких как температура, скорее всего, остались невредимыми от Fuxnet. Вместо этого вредоносное ПО, как полагают, нацелено примерно на 500 сенсорных шлюзов, которые обеспечивают связь с датчиками через последовательную шину, например RS485/Meter-Bus, как упоминает Blackjack. Эти шлюзы также подключены к Интернету для передачи данных в глобальную систему мониторинга компании.
Если шлюзы будут взломаны, ремонт может оказаться обширным, учитывая их географическую разбросанность по Москве и ее окраинам. Каждое устройство потребует либо замены, либо индивидуальной перепрошивки прошивки.
Анализ Fuxnet предполагает удаленное внедрение вредоносного ПО. После проникновения он инициирует удаление важных файлов и каталогов, отключает службы удаленного доступа, чтобы помешать попыткам восстановления, и стирает данные таблицы маршрутизации, чтобы затруднить связь между устройствами. Впоследствии Fuxnet стирает файловую систему и перезаписывает флэш-память устройства.
Повреждая файловую систему и запрещая доступ к устройству, вредоносная программа пытается физически повредить микросхему памяти NAND, а затем перезаписывает том UBI, чтобы затруднить перезагрузку. Кроме того, он пытается вывести из строя датчики, подключенные к шлюзу, переполняя последовательные каналы случайными данными, стремясь перегрузить как последовательную шину, так и датчики.
Исследователи предполагают, что вредоносное ПО Fuxnet могло заразить сенсорные шлюзы
Операция вредоносного ПО неоднократно добавляет произвольные данные в канал Meter-Bus. Это действие препятствует передаче и приему данных между датчиками и шлюзом датчиков, что делает сбор данных датчиков неэффективным. Таким образом, несмотря на заявления злоумышленников о компрометации 87 000 устройств, более практичным представляется то, что им удалось заразить сенсорные шлюзы. Их последующее затопление канала Meter-Bus, похожее на фаззинг сети, было направлено на дальнейшее нарушение работы взаимосвязанного сенсорного оборудования. Следовательно, похоже, что только шлюзы датчиков были выведены из строя, а конечные датчики остались незатронутыми.
